EvilProxy está se tornando uma das plataformas de phishing mais populares para atacar contas protegidas por MFA, com pesquisadores vendo 120.000 e-mails de phishing enviados a mais de uma centena de organizações para roubar contas do Microsoft 365.
Esta nova pesquisa vem da Proofpoint, que alerta para um aumento dramático de incidentes bem-sucedidos de invasão de contas na nuvem nos últimos cinco meses, impactando principalmente executivos de alta hierarquia.
A empresa de cibersegurança observou uma campanha em grande escala apoiada pelo EvilProxy, que combina a personificação de marca, evasão de detecção de bot e redirecionamentos abertos.
EvilProxy é uma plataforma de phishing como serviço que usa proxies reversos para retransmitir solicitações de autenticação e credenciais do usuário entre o usuário (alvo) e o site legítimo do serviço.
Como o servidor de phishing faz proxy do formulário de login legítimo, ele pode roubar cookies de autenticação assim que um usuário acessa sua conta.
Além disso, como o usuário já teve que passar por desafios MFA ao fazer login em uma conta, o cookie roubado permite que os atores de ameaça contornem a autenticação multifator.
Como relatado em setembro de 2022 pela Resecurity, EvilProxy é vendido a criminosos cibernéticos por $400/mês, prometendo a capacidade de atacar contas da Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy e PyPI.
Uma nova campanha de phishing observada por Proofpoint desde março de 2023 está usando o serviço EvilProxy para enviar e-mails que se passam por marcas populares como Adobe, DocuSign e Concur.
Se a vítima clicar no link incorporado, ela passará por um redirecionamento aberto via YouTube ou SlickDeals, seguido por uma série de redirecionamentos subsequentes que visam diminuir as chances de descoberta e análise.
Eventualmente, a vítima chega a uma página de phishing EvilProxy que faz o proxy reverso da página de login do Microsoft 365, que também apresenta o tema da organização da vítima para parecer autêntico.
"Para esconder o e-mail do usuário de ferramentas de varredura automáticas, os atacantes usaram codificação especial do e-mail do usuário, e usaram sites legítimos que foram hackeados, para enviar seu código PHP para decodificar o endereço de e-mail de um usuário específico", explica a Proofpoint.
"Depois de decodificar o endereço de e-mail, o usuário era encaminhado para o site final - a página de phishing real, feita sob medida apenas para a organização do alvo."
Os pesquisadores descobriram que a campanha mais recente redireciona usuários com um endereço IP turco para um site legítimo, basicamente cancelando o ataque, o que pode significar que a operação está baseada na Turquia.
Além disso, a Proofpoint notou que os atacantes foram muito seletivos com quais casos eles prosseguiriam para a fase de invasão de conta, priorizando alvos "VIP" e ignorando aqueles mais baixos na hierarquia.
Daqueles cujas contas foram violadas, 39% eram executivos de nível C, 9% eram CEOs e vice-presidentes, 17% eram diretores financeiros e o restante eram funcionários com acesso a ativos financeiros ou informações sensíveis.
Uma vez que uma conta Microsoft 365 é comprometida, os atores da ameaça adicionam seu próprio método de autenticação multifator (via Aplicativo Autenticador com Notificação e Código) para estabelecer persistência.
Kits de phishing por proxy reverso, e o EvilProxy em particular, são uma ameaça crescente capaz de entregar phishing de alta qualidade em escalas perigosas, enquanto contorna medidas de segurança e proteções de conta.
As organizações só podem se defender dessa ameaça através de maior conscientização de segurança, regras mais rígidas de filtragem de e-mail e adoção de chaves físicas baseadas em FIDO.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...