Злоумышленники полагаются на инструментарий фишинга EvilProxy для нападения на организации

Преступники все чаще используют набор инструментов «фишинг как услуга» (PhaaS), известный как EvilProxy, для организации атак с захватом учетных записей, специально нацеленных на топ-менеджеров известных компаний.

Proofpoint сообщает о продолжающейся смешанной кампании, в ходе которой эта служба использовалась для сосредоточения внимания на тысячах учетных записей пользователей Microsoft 365, и в период с марта по июнь 2023 года было распространено около 120 000 фишинговых писем среди многочисленных организаций по всему миру.

Приблизительно 39% из нескольких скомпрометированных пользователей идентифицированы как руководители высшего звена, включая генеральных директоров (9%) и финансовых директоров (17%). Атаки также выявили лиц, обладающих доступом к конфиденциальной информации или финансовым ресурсам. Среди всех скомпрометированных пользователей не менее 35% применяли дополнительные меры безопасности учетной записи.

Эти кампании рассматриваются как реакция на растущее внедрение многофакторной аутентификации (MFA) на предприятиях, что побуждает злоумышленников адаптировать свои стратегии для обхода недавно введенных уровней безопасности. Они интегрировали в свою тактику наборы фишинговых инструментов «противник посередине» (AitM) для извлечения учетных данных, сеансовых файлов cookie и одноразовых паролей.

Фирма по безопасности предприятий отметила, что злоумышленники используют передовые методы автоматизации, чтобы быстро и точно определить, занимает ли фишинговый пользователь высокопоставленную должность, что позволяет им мгновенно получить доступ к учетной записи. При этом они игнорируют менее прибыльные фишинговые профили.

EvilProxy был первоначально задокументирован Resecurity в сентябре 2022 года, подчеркивая его способность компрометировать учетные записи пользователей, связанные с различными платформами, такими как Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, и Яндекс, среди прочих.

Этот набор инструментов доступен по подписке с ежемесячной стоимостью 400 долларов США. Однако плата может возрасти до 600 долларов США для учетных записей Google.

Наборы инструментов PhaaS знаменуют собой эволюцию в сфере киберпреступности, снижая входной барьер для лиц с ограниченными техническими навыками, позволяющих выполнять сложные фишинговые атаки в больших масштабах, беспрепятственно и с минимальными затратами.

Что такое фишинговые атаки?

Фишинговые атаки — это тип кибератаки, при которой злоумышленники используют обманную тактику, чтобы обманом заставить людей раскрыть конфиденциальную информацию, такую как учетные данные для входа в систему, личные данные или финансовую информацию. Эти атаки обычно происходят через электронные письма, сообщения или веб-сайты, которые выдают себя за законных лиц, что делает их заслуживающими доверия и убедительными.

К основным характеристикам фишинговых атак относятся:

Обманчивая коммуникация: фишинговые атаки часто включают электронные письма, текстовые сообщения или сообщения в социальных сетях, которые, как представляется, исходят из законных источников, таких как банки, платформы социальных сетей, государственные учреждения или известные компании. Злоумышленники используют эти олицетворенные удостоверения, чтобы завоевать доверие получателя.

Срочность или страх. Фишинговые сообщения часто создают ощущение срочности или страха, заставляя получателей предпринять немедленные действия. Распространенная тактика включает заявление о том, что учетная запись была скомпрометирована, требуется оплата или требуется срочное обновление.

Ссылки и вложения. Фишинговые сообщения содержат ссылки на поддельные веб-сайты или вредоносные вложения. Эти ссылки могут направлять получателей на веб-сайты, очень похожие на законные, но предназначенные для кражи информации или распространения вредоносных программ.

Поддельные веб-сайты: Злоумышленники создают поддельные веб-сайты, которые очень похожи на легитимные сайты, чтобы заставить пользователей ввести свои учетные данные. Эти сайты часто имеют похожие URL-адреса или доменные имена с небольшими вариациями.

Кража учетных данных. Основной целью большинства фишинговых атак является кража учетных данных для входа, включая имена пользователей и пароли. Затем злоумышленники используют эти учетные данные для получения несанкционированного доступа к учетным записям.