Aktorzy zagrożeń polegający na zestawie narzędzi do phishingu EvilProxy w celu atakowania organizacji

Przestępcy coraz częściej wykorzystują zestaw narzędzi typu phishing jako usługa (PhaaS), znany jako EvilProxy, do organizowania ataków polegających na przejęciu konta, wymierzonych w kadrę kierowniczą najwyższego szczebla w znanych firmach.

Firma Proofpoint donosi o trwającej kampanii mieszanej, w której wykorzystano tę usługę, aby skoncentrować się na tysiącach kont użytkowników Microsoft 365, rozsyłając około 120 000 e-maili phishingowych do wielu organizacji na całym świecie w okresie od marca do czerwca 2023 r.

Około 39% kilku zaatakowanych użytkowników to dyrektorzy wyższego szczebla, w tym dyrektorzy generalni (9%) i dyrektorzy finansowi (17%). Ataki pozwoliły również zidentyfikować osoby posiadające dostęp do poufnych informacji lub zasobów finansowych. Spośród wszystkich zaatakowanych użytkowników co najmniej 35% stosowało dodatkowe środki bezpieczeństwa konta.

Kampanie te są postrzegane jako reakcja na rosnącą implementację uwierzytelniania wieloskładnikowego (MFA) w przedsiębiorstwach, co skłania cyberprzestępców do dostosowywania strategii w celu obejścia nowo wprowadzonych warstw zabezpieczeń. Zintegrowali zestawy phishingowe typu adversary-in-the-middle (AitM) w swoich taktykach w celu wydobycia danych uwierzytelniających, sesyjnych plików cookie i haseł jednorazowych.

Firma zajmująca się bezpieczeństwem korporacyjnym zauważyła, że osoby atakujące stosują zaawansowane techniki automatyzacji, aby szybko i dokładnie zidentyfikować, czy wyłudzony użytkownik zajmuje wysokie stanowisko, umożliwiając mu natychmiastowy dostęp do konta. Jednocześnie ignorują mniej lukratywne profile phishingowe.

EvilProxy został początkowo udokumentowany przez firmę Resecurity we wrześniu 2022 r., podkreślając jego zdolność do narażania kont użytkowników powiązanych z różnymi platformami, takimi jak Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, i Yandex m.in.

Ten zestaw narzędzi jest dostępny w ramach subskrypcji, a jej miesięczny koszt wynosi 400 USD. Jednak opłata może wzrosnąć do 600 USD za konta Google.

Zestawy narzędzi PhaaS oznaczają ewolucję krajobrazu cyberprzestępczości, obniżając barierę wejścia dla osób o ograniczonych umiejętnościach technicznych, umożliwiającą przeprowadzanie skomplikowanych ataków phishingowych na dużą skalę, bezproblemowo i opłacalnie.

Czym są ataki phishingowe?

Ataki typu phishing to rodzaj cyberataku, w którym osoby atakujące stosują zwodnicze taktyki, aby nakłonić osoby do ujawnienia poufnych informacji, takich jak dane logowania, dane osobowe lub informacje finansowe. Ataki te zazwyczaj mają miejsce za pośrednictwem e-maili, wiadomości lub stron internetowych, które podszywają się pod legalne podmioty, sprawiając, że wydają się one godne zaufania i przekonujące.

Kluczowe cechy ataków phishingowych obejmują:

Zwodnicza komunikacja: Ataki typu phishing często obejmują e-maile, wiadomości tekstowe lub wiadomości w mediach społecznościowych, które wydają się pochodzić z legalnych źródeł, takich jak banki, platformy mediów społecznościowych, agencje rządowe lub znane firmy. Atakujący wykorzystują te podszywające się tożsamości, aby zdobyć zaufanie odbiorcy.

Pilność lub strach: wiadomości phishingowe często wywołują poczucie pilności lub strachu przed manipulowaniem odbiorcami w celu podjęcia natychmiastowych działań. Typowe taktyki obejmują twierdzenie, że konto zostało naruszone, należna jest płatność lub wymagana jest pilna aktualizacja.

Łącza i załączniki: wiadomości phishingowe zawierają łącza do fałszywych stron internetowych lub złośliwych załączników. Linki te mogą kierować odbiorców do stron internetowych, które bardzo przypominają legalne strony internetowe, ale których celem jest kradzież informacji lub rozpowszechnianie złośliwego oprogramowania.

Sfałszowane strony internetowe: osoby atakujące tworzą fałszywe strony internetowe, które bardzo naśladują wygląd legalnych witryn, aby nakłonić użytkowników do wprowadzenia ich danych uwierzytelniających. Witryny te często mają podobne adresy URL lub nazwy domen z niewielkimi różnicami.

Kradzież danych uwierzytelniających: Głównym celem większości ataków typu phishing jest kradzież danych logowania, w tym nazw użytkowników i haseł. Atakujący następnie wykorzystują te dane uwierzytelniające, aby uzyskać nieautoryzowany dostęp do kont.