Απειλές ηθοποιοί που βασίζονται στο EvilProxy Phishing Toolkit για να στοχεύουν οργανισμούς

Οι εγκληματίες χρησιμοποιούν όλο και πιο συχνά μια εργαλειοθήκη phishing-as-a-service (PhaaS), γνωστή ως EvilProxy, για να ενορχηστρώσουν επιθέσεις εξαγοράς λογαριασμών που στοχεύουν συγκεκριμένα κορυφαία στελέχη σε εξέχουσες εταιρείες.

Η Proofpoint αναφέρει μια συνεχιζόμενη μικτή καμπάνια που χρησιμοποίησε αυτήν την υπηρεσία για να επικεντρωθεί σε χιλιάδες λογαριασμούς χρηστών του Microsoft 365, διανέμοντας περίπου 120.000 μηνύματα ηλεκτρονικού "ψαρέματος" σε πολλούς οργανισμούς παγκοσμίως από την περίοδο Μαρτίου έως Ιουνίου 2023.

Περίπου το 39% από τους διάφορους παραβιασμένους χρήστες προσδιορίζονται ως στελέχη C-level, συμπεριλαμβανομένων των CEO (9%) και των CFO (17%). Οι επιθέσεις έχουν επίσης εντοπίσει άτομα που έχουν πρόσβαση σε ευαίσθητες πληροφορίες ή οικονομικούς πόρους. Μεταξύ όλων των παραβιασμένων χρηστών, τουλάχιστον το 35% διέθετε πρόσθετα μέτρα ασφαλείας λογαριασμού.

Αυτές οι καμπάνιες θεωρούνται ως αντίδραση στην αυξανόμενη εφαρμογή του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) εντός των επιχειρήσεων, ωθώντας τους φορείς απειλών να προσαρμόσουν τις στρατηγικές τους για να παρακάμψουν τα επίπεδα ασφαλείας που εισήχθησαν πρόσφατα. Έχουν ενσωματώσει κιτ phishing αντιπάλου (AitM) στις τακτικές τους για την εξαγωγή διαπιστευτηρίων, cookie περιόδου λειτουργίας και κωδικούς πρόσβασης μίας χρήσης.

Η εταιρεία ασφάλειας επιχειρήσεων σημείωσε ότι οι επιτιθέμενοι χρησιμοποιούν προηγμένες τεχνικές αυτοματισμού για να προσδιορίσουν γρήγορα και με ακρίβεια εάν ένας χρήστης phish κατέχει μια θέση υψηλού προφίλ, επιτρέποντάς τους να έχουν άμεση πρόσβαση στον λογαριασμό. Ταυτόχρονα, αγνοούν τα λιγότερο προσοδοφόρα προφίλ phish.

Το EvilProxy τεκμηριώθηκε αρχικά από το Resecurity τον Σεπτέμβριο του 2022, υπογραμμίζοντας την ικανότητά του να παραβιάζει λογαριασμούς χρηστών που συνδέονται με διάφορες πλατφόρμες όπως Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, και Yandex, μεταξύ άλλων.

Αυτή η εργαλειοθήκη διατίθεται μέσω συνδρομής, με μηνιαίο κόστος 400 $. Ωστόσο, η χρέωση μπορεί να αυξηθεί στα 600 $ για λογαριασμούς Google.

Οι εργαλειοθήκες PhaaS σηματοδοτούν μια εξέλιξη στο τοπίο του εγκλήματος στον κυβερνοχώρο, μειώνοντας το εμπόδιο εισόδου για άτομα με περιορισμένες τεχνικές δεξιότητες να εκτελούν περίπλοκες επιθέσεις phishing σε μεγάλη κλίμακα, απρόσκοπτα και οικονομικά.

Τι είναι οι επιθέσεις phishing;

Οι επιθέσεις ηλεκτρονικού "ψαρέματος" είναι ένας τύπος κυβερνοεπίθεσης κατά την οποία οι εισβολείς χρησιμοποιούν παραπλανητικές τακτικές για να εξαπατήσουν άτομα ώστε να αποκαλύψουν ευαίσθητες πληροφορίες, όπως διαπιστευτήρια σύνδεσης, προσωπικά στοιχεία ή οικονομικές πληροφορίες. Αυτές οι επιθέσεις συνήθως συμβαίνουν μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου, μηνυμάτων ή ιστότοπων που υποδύονται νόμιμες οντότητες, κάνοντάς τις να φαίνονται αξιόπιστες και πειστικές.

Τα βασικά χαρακτηριστικά των επιθέσεων phishing περιλαμβάνουν:

Παραπλανητική επικοινωνία: Οι επιθέσεις ηλεκτρονικού ψαρέματος συχνά περιλαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα κειμένου ή μηνύματα μέσων κοινωνικής δικτύωσης που φαίνεται να προέρχονται από νόμιμες πηγές, όπως τράπεζες, πλατφόρμες μέσων κοινωνικής δικτύωσης, κυβερνητικές υπηρεσίες ή γνωστές εταιρείες. Οι εισβολείς χρησιμοποιούν αυτές τις πλαστογραφημένες ταυτότητες για να κερδίσουν την εμπιστοσύνη του παραλήπτη.

Επείγον ή Φόβος: Τα μηνύματα ηλεκτρονικού ψαρέματος συχνά δημιουργούν μια αίσθηση επείγοντος ή φόβου να χειραγωγήσουν τους παραλήπτες ώστε να λάβουν άμεση δράση. Οι συνήθεις τακτικές περιλαμβάνουν τον ισχυρισμό ότι ένας λογαριασμός έχει παραβιαστεί, ότι απαιτείται πληρωμή ή απαιτείται επείγουσα ενημέρωση.

Σύνδεσμοι και συνημμένα: Τα μηνύματα ηλεκτρονικού ψαρέματος περιέχουν συνδέσμους προς ψεύτικους ιστότοπους ή κακόβουλα συνημμένα. Αυτοί οι σύνδεσμοι ενδέχεται να κατευθύνουν τους παραλήπτες σε ιστότοπους που μοιάζουν πολύ με νόμιμους, αλλά έχουν σχεδιαστεί για την κλοπή πληροφοριών ή τη διάδοση κακόβουλου λογισμικού.

Παραπλανημένοι ιστότοποι: Οι εισβολείς δημιουργούν ψεύτικους ιστότοπους που μιμούνται στενά την εμφάνιση νόμιμων ιστότοπων για να εξαπατήσουν τους χρήστες να εισαγάγουν τα διαπιστευτήριά τους. Αυτοί οι ιστότοποι έχουν συχνά παρόμοια URL ή ονόματα τομέα με μικρές παραλλαγές.

Κλοπή διαπιστευτηρίων: Ο πρωταρχικός στόχος των περισσότερων επιθέσεων phishing είναι η κλοπή των διαπιστευτηρίων σύνδεσης, συμπεριλαμβανομένων των ονομάτων χρήστη και των κωδικών πρόσβασης. Στη συνέχεια, οι εισβολείς χρησιμοποιούν αυτά τα διαπιστευτήρια για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς.