Gli attori della minaccia si affidano a EvilProxy Phishing Toolkit per prendere di mira le organizzazioni
Gli attori criminali utilizzano sempre più spesso un toolkit di phishing-as-a-service (PhaaS) noto come EvilProxy per orchestrare attacchi di acquisizione di account mirati specificamente ai massimi dirigenti all'interno di aziende di spicco.
Proofpoint segnala una campagna mista in corso che ha utilizzato questo servizio per concentrarsi su migliaia di account utente di Microsoft 365, diffondendo circa 120.000 e-mail di phishing a numerose organizzazioni in tutto il mondo tra il periodo da marzo a giugno del 2023.
Circa il 39% dei numerosi utenti compromessi sono identificati come dirigenti di livello C, che comprendono amministratori delegati (9%) e direttori finanziari (17%). Gli attacchi hanno anche individuato individui che possiedono l'accesso a informazioni sensibili o risorse finanziarie. Tra tutti gli utenti compromessi, almeno il 35% disponeva di ulteriori misure di sicurezza dell'account.
Queste campagne sono viste come una reazione alla crescente implementazione dell'autenticazione a più fattori (MFA) all'interno delle aziende, spingendo gli attori delle minacce ad adattare le loro strategie per aggirare i livelli di sicurezza appena introdotti. Hanno integrato i kit di phishing AitM (adversary-in-the-middle) nelle loro tattiche per estrarre credenziali, cookie di sessione e password monouso.
La società di sicurezza aziendale ha notato che gli aggressori utilizzano tecniche di automazione avanzate per identificare rapidamente e con precisione se un utente oggetto di phishing detiene una posizione di alto profilo, consentendo loro di accedere istantaneamente all'account. Allo stesso tempo, ignorano i profili di phishing meno redditizi.
EvilProxy è stato inizialmente documentato da Resecurity nel settembre 2022, evidenziando la sua capacità di compromettere gli account utente collegati a varie piattaforme come Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, e Yandex, tra gli altri.
Questo toolkit è disponibile tramite abbonamento, con un costo mensile di $ 400. Tuttavia, la commissione può aumentare fino a $ 600 per gli account Google.
I toolkit PhaaS rappresentano un'evoluzione nel panorama del crimine informatico, abbassando la barriera all'ingresso per le persone con competenze tecniche limitate per eseguire intricati attacchi di phishing su larga scala, senza soluzione di continuità e a costi contenuti.
Cosa sono gli attacchi di phishing?
Gli attacchi di phishing sono un tipo di attacco informatico in cui gli aggressori utilizzano tattiche ingannevoli per indurre le persone a rivelare informazioni sensibili, come credenziali di accesso, dettagli personali o informazioni finanziarie. Questi attacchi si verificano in genere tramite e-mail, messaggi o siti Web che impersonano entità legittime, facendoli apparire affidabili e convincenti.
Le caratteristiche principali degli attacchi di phishing includono:
Comunicazione ingannevole: gli attacchi di phishing spesso coinvolgono e-mail, messaggi di testo o messaggi di social media che sembrano provenire da fonti legittime, come banche, piattaforme di social media, agenzie governative o aziende ben note. Gli aggressori utilizzano queste identità impersonate per ottenere la fiducia del destinatario.
Urgenza o paura: i messaggi di phishing spesso creano un senso di urgenza o paura per manipolare i destinatari affinché intraprendano un'azione immediata. Le tattiche comuni includono affermare che un account è stato compromesso, che è dovuto un pagamento o che è necessario un aggiornamento urgente.
Collegamenti e allegati: i messaggi di phishing contengono collegamenti a siti Web fasulli o allegati dannosi. Questi collegamenti possono indirizzare i destinatari a siti Web molto simili a quelli legittimi, ma progettati per rubare informazioni o diffondere malware.
Siti Web contraffatti: gli aggressori creano siti Web fasulli che imitano da vicino l'aspetto di siti legittimi per indurre gli utenti a inserire le proprie credenziali. Questi siti hanno spesso URL o nomi di dominio simili con lievi variazioni.
Furto di credenziali: l'obiettivo principale della maggior parte degli attacchi di phishing è rubare le credenziali di accesso, inclusi nomi utente e password. Gli aggressori utilizzano quindi queste credenziali per ottenere l'accesso non autorizzato agli account.
