Az EvilProxy adathalász eszközkészletére támaszkodó szereplők fenyegetése a célszervezetek megcélzásában

A bűnözők egyre gyakrabban használják az EvilProxy néven ismert adathalászat szolgáltatásként (PhaaS) eszközkészletet, hogy olyan fiókátvételi támadásokat irányítsanak, amelyek kifejezetten a kiemelkedő vállalatok felső vezetőit célozzák meg.

A Proofpoint egy folyamatban lévő vegyes kampányról számol be, amely ezt a szolgáltatást több ezer Microsoft 365 felhasználói fiókra összpontosította, és 2023 márciusa és júniusa között körülbelül 120 000 adathalász e-mailt juttatott el számos szervezethez világszerte.

A kompromittált felhasználók körülbelül 39%-át C-szintű vezetőként azonosítják, ideértve a vezérigazgatókat (9%) és a pénzügyi igazgatókat (17%). A támadások olyan személyeket is felderítettek, akik érzékeny információkhoz vagy pénzügyi forrásokhoz fértek hozzá. A feltört felhasználók legalább 35%-a rendelkezett extra fiókbiztonsági intézkedésekkel.

Ezeket a kampányokat a vállalatokon belüli többtényezős hitelesítés (MFA) növekvő bevezetésére adott reakciónak tekintik, ami arra készteti a fenyegetés szereplőit, hogy stratégiájukat az újonnan bevezetett biztonsági rétegek megkerülése érdekében alakítsák át. Az AitM-féle adathalász készleteket integrálták a taktikájukba a hitelesítő adatok, a munkamenet-sütik és az egyszeri jelszavak kinyerésére.

A vállalati biztonsági cég megjegyezte, hogy a támadók fejlett automatizálási technikákat alkalmaznak annak érdekében, hogy gyorsan és pontosan azonosítsák, hogy egy adathalász felhasználó magas szintű pozíciót tölt-e be, így azonnal hozzáférhet a fiókhoz. Ezzel egyidejűleg figyelmen kívül hagyják a kevésbé jövedelmező adathalász profilokat.

Az EvilProxy-t eredetileg a Resecurity dokumentálta 2022 szeptemberében, kiemelve, hogy képes kompromittálni a különböző platformokhoz, például Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, kapcsolódó felhasználói fiókokat. és többek között a Yandex.

Ez az eszközkészlet előfizetéssel érhető el, havi 400 dolláros költséggel. A díj azonban 600 USD-ra emelkedhet a Google-fiókok esetében.

A PhaaS eszközkészletek fejlődést jeleznek a kiberbűnözés területén, csökkentve a korlátozott technikai tudással rendelkező személyek belépési korlátját, hogy bonyolult adathalász támadásokat hajtsanak végre nagy léptékben, zökkenőmentesen és költséghatékonyan.

Mik azok az adathalász támadások?

Az adathalász támadások olyan számítógépes támadások, amelyek során a támadók megtévesztő taktikát alkalmaznak, hogy rávegyenek egyéneket érzékeny adatok, például bejelentkezési adatok, személyes adatok vagy pénzügyi információk felfedésére. Ezek a támadások általában olyan e-mailekben, üzenetekben vagy webhelyeken keresztül történnek, amelyek jogos entitásokat adnak ki, így azok megbízhatónak és meggyőzőnek tűnnek.

Az adathalász támadások főbb jellemzői a következők:

Megtévesztő kommunikáció: Az adathalász támadások gyakran olyan e-maileket, szöveges üzeneteket vagy közösségimédia-üzeneteket foglalnak magukban, amelyek látszólag legális forrásból, például bankokból, közösségi média platformokról, kormányzati szervektől vagy jól ismert cégektől származnak. A támadók ezeket a megszemélyesített személyazonosságokat arra használják, hogy elnyerjék a címzett bizalmát.

Sürgősség vagy félelem: Az adathalász üzenetek gyakran sürgős vagy félelmet keltenek, hogy azonnali cselekvésre manipulálják a címzetteket. Az általános taktikák közé tartozik annak állítása, hogy egy fiókot feltörtek, esedékes a fizetés, vagy sürgős frissítésre van szükség.

Hivatkozások és mellékletek: Az adathalász üzenetek hamis webhelyekre vagy rosszindulatú mellékletekre mutató hivatkozásokat tartalmaznak. Ezek a linkek olyan webhelyekre irányíthatják a címzetteket, amelyek nagyon hasonlítanak a legális webhelyekre, de információlopásra vagy rosszindulatú programok terjesztésére szolgálnak.

Hamisított webhelyek: A támadók hamis webhelyeket hoznak létre, amelyek szorosan utánozzák a legális webhelyek megjelenését, hogy rávegyék a felhasználókat hitelesítő adataik megadására. Ezek a webhelyek gyakran hasonló URL-ekkel vagy domainnevekkel rendelkeznek, kis eltérésekkel.

Hitelesítési adatok ellopása: A legtöbb adathalász támadás elsődleges célja a bejelentkezési adatok, köztük a felhasználónevek és jelszavak ellopása. A támadók ezután ezeket a hitelesítő adatokat használják fel arra, hogy jogosulatlan hozzáférést szerezzenek a fiókokhoz.