Atores de ameaças confiam no kit de ferramentas de phishing EvilProxy para atingir organizações
Os criminosos estão utilizando cada vez mais um kit de ferramentas de phishing como serviço (PhaaS), conhecido como EvilProxy, para orquestrar ataques de controle de contas visando especificamente os principais executivos de empresas proeminentes.
A Proofpoint relata uma campanha mista em andamento que empregou esse serviço para se concentrar em milhares de contas de usuário do Microsoft 365, disseminando cerca de 120.000 e-mails de phishing para várias organizações em todo o mundo entre o período de março a junho de 2023.
Aproximadamente 39% dos diversos usuários comprometidos são identificados como executivos de nível C, abrangendo CEOs (9%) e CFOs (17%). Os ataques também identificaram indivíduos que possuem acesso a informações confidenciais ou recursos financeiros. Entre todos os usuários comprometidos, pelo menos 35% tinham medidas extras de segurança de conta em vigor.
Essas campanhas são vistas como uma reação à crescente implementação da autenticação multifator (MFA) nas empresas, levando os agentes de ameaças a adaptar suas estratégias para contornar as camadas de segurança recém-introduzidas. Eles integraram kits de phishing de adversário no meio (AitM) em suas táticas para extrair credenciais, cookies de sessão e senhas de uso único.
A empresa de segurança corporativa observou que os invasores empregam técnicas avançadas de automação para identificar com rapidez e precisão se um usuário phishing ocupa uma posição de destaque, permitindo que ele acesse instantaneamente a conta. Simultaneamente, eles desconsideram perfis de phishing menos lucrativos.
O EvilProxy foi inicialmente documentado pela Resecurity em setembro de 2022, destacando sua capacidade de comprometer contas de usuários vinculadas a várias plataformas, como Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, e Yandex, entre outros.
Este kit de ferramentas está disponível por meio de assinatura, com um custo mensal de US$ 400. No entanto, a taxa pode aumentar para US$ 600 para contas do Google.
Os kits de ferramentas PhaaS significam uma evolução no cenário do crime cibernético, diminuindo a barreira de entrada para indivíduos com habilidades técnicas limitadas para executar ataques de phishing complexos em grande escala, de forma contínua e econômica.
O que são ataques de phishing?
Os ataques de phishing são um tipo de ataque cibernético no qual os invasores usam táticas enganosas para induzir os indivíduos a revelar informações confidenciais, como credenciais de login, detalhes pessoais ou informações financeiras. Esses ataques geralmente ocorrem por meio de e-mails, mensagens ou sites que se fazem passar por entidades legítimas, fazendo com que pareçam confiáveis e convincentes.
As principais características dos ataques de phishing incluem:
Comunicação enganosa: os ataques de phishing geralmente envolvem e-mails, mensagens de texto ou mensagens de mídia social que parecem vir de fontes legítimas, como bancos, plataformas de mídia social, agências governamentais ou empresas conhecidas. Os invasores usam essas identidades representadas para ganhar a confiança do destinatário.
Urgência ou medo: as mensagens de phishing geralmente criam uma sensação de urgência ou medo de manipular os destinatários para que tomem medidas imediatas. Táticas comuns incluem alegar que uma conta foi comprometida, um pagamento é devido ou uma atualização urgente é necessária.
Links e anexos: as mensagens de phishing contêm links para sites falsos ou anexos maliciosos. Esses links podem direcionar os destinatários para sites que se assemelham a sites legítimos, mas são projetados para roubar informações ou espalhar malware.
Sites falsificados: os invasores criam sites falsos que imitam a aparência de sites legítimos para induzir os usuários a inserir suas credenciais. Esses sites geralmente têm URLs ou nomes de domínio semelhantes com pequenas variações.
Roubo de credenciais: o principal objetivo da maioria dos ataques de phishing é roubar credenciais de login, incluindo nomes de usuário e senhas. Os invasores usam essas credenciais para obter acesso não autorizado às contas.
