Bedreigingsactoren vertrouwen op EvilProxy Phishing Toolkit om organisaties te targeten

Criminele actoren gebruiken steeds vaker een phishing-as-a-service (PhaaS)-toolkit, bekend als EvilProxy, om aanvallen op het overnemen van accounts te orkestreren die specifiek gericht zijn op topmanagers binnen vooraanstaande bedrijven.

Proofpoint meldt een doorlopende gemengde campagne die deze service heeft gebruikt om zich te concentreren op duizenden Microsoft 365-gebruikersaccounts, waarbij tussen maart en juni 2023 ongeveer 120.000 phishing-e-mails werden verspreid onder tal van organisaties over de hele wereld.

Ongeveer 39% van de verschillende gecompromitteerde gebruikers wordt geïdentificeerd als leidinggevenden op C-niveau, waaronder CEO's (9%) en CFO's (17%). De aanvallen hebben ook individuen geïdentificeerd die toegang hebben tot gevoelige informatie of financiële middelen. Van alle gecompromitteerde gebruikers had ten minste 35% extra accountbeveiligingsmaatregelen getroffen.

Deze campagnes worden gezien als een reactie op de toenemende implementatie van multi-factor authenticatie (MFA) binnen ondernemingen, waardoor bedreigingsactoren hun strategieën aanpassen om nieuw geïntroduceerde beveiligingslagen te omzeilen. Ze hebben adversary-in-the-middle (AitM) phishing-kits in hun tactieken geïntegreerd om inloggegevens, sessiecookies en eenmalige wachtwoorden te extraheren.

Het beveiligingsbedrijf merkte op dat aanvallers geavanceerde automatiseringstechnieken gebruiken om snel en nauwkeurig vast te stellen of een phishing-gebruiker een prominente positie bekleedt, waardoor ze direct toegang hebben tot het account. Tegelijkertijd negeren ze minder lucratieve phishingprofielen.

EvilProxy werd aanvankelijk gedocumenteerd door Resecurity in september 2022 en benadrukte de mogelijkheid om gebruikersaccounts te compromitteren die zijn gekoppeld aan verschillende platforms zoals Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, en onder andere Yandex.

Deze toolkit is beschikbaar via een abonnement en kost $ 400 per maand. De vergoeding kan echter oplopen tot $ 600 voor Google-accounts.

PhaaS-toolkits betekenen een evolutie in het landschap van cybercriminaliteit en verlagen de toegangsdrempel voor personen met beperkte technische vaardigheden om ingewikkelde phishing-aanvallen op grote schaal, naadloos en kosteneffectief uit te voeren.

Wat zijn phishing-aanvallen?

Phishing-aanvallen zijn een type cyberaanval waarbij aanvallers misleidende tactieken gebruiken om personen te misleiden om gevoelige informatie vrij te geven, zoals inloggegevens, persoonlijke gegevens of financiële informatie. Deze aanvallen vinden meestal plaats via e-mails, berichten of websites die zich voordoen als legitieme entiteiten, waardoor ze betrouwbaar en overtuigend lijken.

De belangrijkste kenmerken van phishing-aanvallen zijn:

Misleidende communicatie: Bij phishing-aanvallen gaat het vaak om e-mails, sms-berichten of berichten op sociale media die afkomstig lijken te zijn van legitieme bronnen, zoals banken, sociale-mediaplatforms, overheidsinstanties of bekende bedrijven. Aanvallers gebruiken deze nagebootste identiteiten om het vertrouwen van de ontvanger te winnen.

Urgentie of angst: Phishing-berichten wekken vaak een gevoel van urgentie of angst op om ontvangers te manipuleren om onmiddellijk actie te ondernemen. Veel voorkomende tactieken zijn onder meer beweren dat een account is gecompromitteerd, dat er een betaling moet worden gedaan of dat er een dringende update nodig is.

Links en bijlagen: Phishing-berichten bevatten links naar nepwebsites of kwaadaardige bijlagen. Deze links kunnen ontvangers doorverwijzen naar websites die sterk lijken op legitieme websites, maar zijn ontworpen om informatie te stelen of malware te verspreiden.

Vervalste websites: aanvallers maken nepwebsites die het uiterlijk van legitieme sites sterk nabootsen om gebruikers te misleiden om hun inloggegevens in te voeren. Deze sites hebben vaak vergelijkbare URL's of domeinnamen met kleine variaties.

Diefstal van inloggegevens: het primaire doel van de meeste phishing-aanvallen is het stelen van inloggegevens, waaronder gebruikersnamen en wachtwoorden. Aanvallers gebruiken deze inloggegevens vervolgens om ongeoorloofde toegang tot accounts te krijgen.