Actores de amenazas que confían en EvilProxy Phishing Toolkit para atacar organizaciones
Los delincuentes utilizan cada vez más un conjunto de herramientas de phishing como servicio (PhaaS) conocido como EvilProxy para orquestar ataques de apropiación de cuentas dirigidos específicamente a los altos ejecutivos de empresas destacadas.
Proofpoint informa de una campaña mixta en curso que ha empleado este servicio para centrarse en miles de cuentas de usuario de Microsoft 365, y ha difundido alrededor de 120 000 correos electrónicos de phishing a numerosas organizaciones en todo el mundo entre marzo y junio de 2023.
Aproximadamente el 39 % de los diversos usuarios comprometidos se identifican como ejecutivos de nivel C, que incluyen directores ejecutivos (9 %) y directores financieros (17 %). Los ataques también identificaron a personas que tienen acceso a información confidencial o recursos financieros. Entre todos los usuarios comprometidos, al menos el 35 % tenía implementadas medidas adicionales de seguridad en la cuenta.
Estas campañas se ven como una reacción a la creciente implementación de la autenticación multifactor (MFA) dentro de las empresas, lo que lleva a los actores de amenazas a adaptar sus estrategias para eludir las capas de seguridad recién introducidas. Han integrado kits de phishing adversary-in-the-middle (AitM) en sus tácticas para extraer credenciales, cookies de sesión y contraseñas de un solo uso.
La firma de seguridad empresarial señaló que los atacantes emplean técnicas de automatización avanzadas para identificar de manera rápida y precisa si un usuario phishing ocupa un puesto de alto perfil, lo que les permite acceder instantáneamente a la cuenta. Simultáneamente, ignoran perfiles phishing menos lucrativos.
EvilProxy fue documentado inicialmente por Resecurity en septiembre de 2022, destacando su capacidad para comprometer cuentas de usuario vinculadas a varias plataformas como Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, y Yandex, entre otros.
Este kit de herramientas está disponible mediante suscripción, con un costo mensual de $400. Sin embargo, la tarifa puede aumentar a $ 600 para las cuentas de Google.
Los kits de herramientas de PhaaS significan una evolución en el panorama del delito cibernético, reduciendo la barrera de entrada para las personas con habilidades técnicas limitadas para ejecutar complejos ataques de phishing a gran escala, sin problemas y de manera rentable.
¿Qué son los ataques de phishing?
Los ataques de phishing son un tipo de ataque cibernético en el que los atacantes usan tácticas engañosas para engañar a las personas para que revelen información confidencial, como credenciales de inicio de sesión, detalles personales o información financiera. Estos ataques generalmente ocurren a través de correos electrónicos, mensajes o sitios web que se hacen pasar por entidades legítimas, haciéndolos parecer confiables y convincentes.
Las características clave de los ataques de phishing incluyen:
Comunicación engañosa: los ataques de phishing a menudo involucran correos electrónicos, mensajes de texto o mensajes de redes sociales que parecen provenir de fuentes legítimas, como bancos, plataformas de redes sociales, agencias gubernamentales o empresas conocidas. Los atacantes utilizan estas identidades suplantadas para ganarse la confianza del destinatario.
Urgencia o miedo: los mensajes de phishing a menudo crean una sensación de urgencia o miedo para manipular a los destinatarios para que tomen medidas inmediatas. Las tácticas comunes incluyen afirmar que una cuenta ha sido comprometida, que se debe un pago o que se requiere una actualización urgente.
Enlaces y archivos adjuntos: los mensajes de phishing contienen enlaces a sitios web falsos o archivos adjuntos maliciosos. Estos enlaces pueden dirigir a los destinatarios a sitios web que se parecen mucho a los legítimos pero que están diseñados para robar información o propagar malware.
Sitios web falsificados: los atacantes crean sitios web falsos que imitan de cerca la apariencia de sitios legítimos para engañar a los usuarios para que ingresen sus credenciales. Estos sitios suelen tener direcciones URL o nombres de dominio similares con ligeras variaciones.
Robo de credenciales: el objetivo principal de la mayoría de los ataques de phishing es robar las credenciales de inicio de sesión, incluidos los nombres de usuario y las contraseñas. Luego, los atacantes usan estas credenciales para obtener acceso no autorizado a las cuentas.
