Trusselaktører som stoler på EvilProxy Phishing Toolkit for å målrette mot organisasjoner

Kriminelle aktører bruker stadig oftere et phishing-as-a-service (PhaaS) verktøysett kjent som EvilProxy for å orkestrere kontoovertakelsesangrep spesifikt rettet mot toppledere i fremtredende selskaper.

Proofpoint rapporterer en pågående blandet kampanje som har brukt denne tjenesten til å fokusere på tusenvis av Microsoft 365-brukerkontoer, og spre rundt 120 000 phishing-e-poster til en rekke organisasjoner over hele verden mellom perioden mars til juni i 2023.

Omtrent 39 % av de flere kompromitterte brukerne er identifisert som ledere på C-nivå, som omfatter administrerende direktører (9 %) og finansdirektører (17 %). Angrepene har også identifisert personer som har tilgang til sensitiv informasjon eller økonomiske ressurser. Blant alle kompromitterte brukere hadde minst 35 % ekstra kontosikkerhetstiltak på plass.

Disse kampanjene blir sett på som en reaksjon på den økende implementeringen av multifaktorautentisering (MFA) i bedrifter, noe som får trusselaktører til å tilpasse sine strategier for å omgå nylig introduserte sikkerhetslag. De har integrert adversary-in-the-middle (AitM) phishing-sett i taktikken deres for å trekke ut legitimasjon, øktinformasjonskapsler og engangspassord.

Bedriftssikkerhetsfirmaet bemerket at angripere bruker avanserte automatiseringsteknikker for raskt og nøyaktig å identifisere om en phished-bruker har en høyprofilert posisjon, slik at de kan få tilgang til kontoen umiddelbart. Samtidig ser de bort fra mindre lukrative phished-profiler.

EvilProxy ble opprinnelig dokumentert av Resecurity i september 2022, og fremhevet dens evne til å kompromittere brukerkontoer knyttet til forskjellige plattformer som Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, og Yandex, blant andre.

Dette verktøysettet er tilgjengelig via abonnement, med en månedlig kostnad på $400. Gebyret kan imidlertid eskalere til $600 for Google-kontoer.

PhaaS-verktøysett betyr en utvikling i cyberkriminalitet, og senker inngangsbarrieren for personer med begrensede tekniske ferdigheter til å utføre intrikate phishing-angrep i stor skala, sømløst og kostnadseffektivt.

Hva er phishing-angrep?

Phishing-angrep er en type cyberangrep der angripere bruker villedende taktikker for å lure enkeltpersoner til å avsløre sensitiv informasjon, for eksempel påloggingsinformasjon, personlige opplysninger eller finansiell informasjon. Disse angrepene skjer vanligvis gjennom e-poster, meldinger eller nettsteder som utgir seg for å være legitime enheter, noe som får dem til å virke pålitelige og overbevisende.

Viktige kjennetegn ved phishing-angrep inkluderer:

Villedende kommunikasjon: Phishing-angrep involverer ofte e-poster, tekstmeldinger eller meldinger på sosiale medier som ser ut til å komme fra legitime kilder, som banker, sosiale medieplattformer, offentlige etater eller kjente selskaper. Angripere bruker disse etterligne identitetene for å vinne mottakerens tillit.

Haster eller frykt: Phishing-meldinger skaper ofte en følelse av at det haster eller frykter for å manipulere mottakere til å ta umiddelbare handlinger. Vanlige taktikker inkluderer å hevde at en konto har blitt kompromittert, en betaling forfaller eller en hasteoppdatering er nødvendig.

Lenker og vedlegg: Phishing-meldinger inneholder lenker til falske nettsteder eller ondsinnede vedlegg. Disse koblingene kan lede mottakere til nettsteder som ligner på legitime nettsteder, men som er laget for å stjele informasjon eller spre skadelig programvare.

Forfalskede nettsteder: Angripere lager falske nettsteder som tett etterligner utseendet til legitime nettsteder for å lure brukere til å skrive inn legitimasjonen deres. Disse nettstedene har ofte lignende nettadresser eller domenenavn med små variasjoner.

Legitimasjonstyveri: Hovedmålet med de fleste phishing-angrep er å stjele påloggingsinformasjon, inkludert brukernavn og passord. Angripere bruker deretter denne legitimasjonen for å få uautorisert tilgang til kontoer.