威胁行为者依靠 EvilProxy 网络钓鱼工具包来攻击组织

犯罪分子越来越频繁地利用名为 EvilProxy 的网络钓鱼即服务 (PhaaS) 工具包来策划专门针对知名公司高管的帐户接管攻击。

Proofpoint 报告了一项正在进行的混合活动，该活动利用该服务重点关注数千个 Microsoft 365 用户帐户，在 2023 年 3 月至 6 月期间向全球众多组织传播了约 120,000 封网络钓鱼电子邮件。

在几名受损用户中，大约 39% 被确定为 C 级管理人员，其中包括首席执行官 (9%) 和首席财务官 (17%)。这些攻击还锁定了有权访问敏感信息或财务资源的个人。在所有受影响的用户中，至少 35% 的用户采取了额外的帐户安全措施。

这些活动被视为对企业内日益增多的多因素身份验证 (MFA) 实施的反应，促使威胁行为者调整其策略以规避新引入的安全层。他们将中间对手 (AitM) 网络钓鱼工具包集成到他们的策略中，以提取凭据、会话 cookie 和一次性密码。

这家企业安全公司指出，攻击者采用先进的自动化技术来快速准确地识别网络钓鱼用户是否拥有高调职位，从而使他们能够立即访问该帐户。同时，他们忽视利润较低的网络钓鱼配置文件。

EvilProxy 最初由 Resecurity 于 2022 年 9 月记录，强调其能够危害与 Apple iCloud、Facebook、GoDaddy、GitHub、Google、Dropbox、Instagram、Microsoft、NPM、PyPI、RubyGems、Twitter、Yahoo、和 Yandex 等。

该工具包可通过订阅获得，每月费用为 400 美元。不过，Google 帐户的费用可能会增加到 600 美元。

PhaaS 工具包标志着网络犯罪领域的演变，降低了技术技能有限的个人大规模、无缝且经济高效地执行复杂网络钓鱼攻击的准入门槛。

什么是网络钓鱼攻击？

网络钓鱼攻击是一种网络攻击，攻击者使用欺骗策略诱骗个人泄露敏感信息，例如登录凭据、个人详细信息或财务信息。这些攻击通常通过冒充合法实体的电子邮件、消息或网站进行，使它们显得值得信赖和令人信服。

网络钓鱼攻击的主要特征包括：

欺骗性通信：网络钓鱼攻击通常涉及看似来自合法来源（例如银行、社交媒体平台、政府机构或知名公司）的电子邮件、短信或社交媒体消息。攻击者使用这些冒充的身份来获取收件人的信任。

紧迫感或恐惧感：网络钓鱼邮件通常会营造一种紧迫感或恐惧感，以操纵收件人立即采取行动。常见的策略包括声称帐户已被盗用、付款到期或需要紧急更新。

链接和附件：网络钓鱼邮件包含虚假网站或恶意附件的链接。这些链接可能会将收件人引导至与合法网站非常相似但旨在窃取信息或传播恶意软件的网站。

欺骗网站：攻击者创建虚假网站，模仿合法网站的外观，诱骗用户输入其凭据。这些网站通常具有相似的 URL 或域名，但略有不同。

凭据盗窃：大多数网络钓鱼攻击的主要目标是窃取登录凭据，包括用户名和密码。然后，攻击者使用这些凭据来获得对帐户的未经授权的访问。