Campanha de phishing EvilProxy tem como alvo 120.000 usuários do Microsoft 365
9 de Agosto de 2023

EvilProxy está se tornando uma das plataformas de phishing mais populares para atacar contas protegidas por MFA, com pesquisadores vendo 120.000 e-mails de phishing enviados a mais de uma centena de organizações para roubar contas do Microsoft 365.

Esta nova pesquisa vem da Proofpoint, que alerta para um aumento dramático de incidentes bem-sucedidos de invasão de contas na nuvem nos últimos cinco meses, impactando principalmente executivos de alta hierarquia.

A empresa de cibersegurança observou uma campanha em grande escala apoiada pelo EvilProxy, que combina a personificação de marca, evasão de detecção de bot e redirecionamentos abertos.

EvilProxy é uma plataforma de phishing como serviço que usa proxies reversos para retransmitir solicitações de autenticação e credenciais do usuário entre o usuário (alvo) e o site legítimo do serviço.

Como o servidor de phishing faz proxy do formulário de login legítimo, ele pode roubar cookies de autenticação assim que um usuário acessa sua conta.

Além disso, como o usuário já teve que passar por desafios MFA ao fazer login em uma conta, o cookie roubado permite que os atores de ameaça contornem a autenticação multifator.

Como relatado em setembro de 2022 pela Resecurity, EvilProxy é vendido a criminosos cibernéticos por $400/mês, prometendo a capacidade de atacar contas da Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy e PyPI.

Uma nova campanha de phishing observada por Proofpoint desde março de 2023 está usando o serviço EvilProxy para enviar e-mails que se passam por marcas populares como Adobe, DocuSign e Concur.

Se a vítima clicar no link incorporado, ela passará por um redirecionamento aberto via YouTube ou SlickDeals, seguido por uma série de redirecionamentos subsequentes que visam diminuir as chances de descoberta e análise.

Eventualmente, a vítima chega a uma página de phishing EvilProxy que faz o proxy reverso da página de login do Microsoft 365, que também apresenta o tema da organização da vítima para parecer autêntico.

"Para esconder o e-mail do usuário de ferramentas de varredura automáticas, os atacantes usaram codificação especial do e-mail do usuário, e usaram sites legítimos que foram hackeados, para enviar seu código PHP para decodificar o endereço de e-mail de um usuário específico", explica a Proofpoint.

"Depois de decodificar o endereço de e-mail, o usuário era encaminhado para o site final - a página de phishing real, feita sob medida apenas para a organização do alvo."

Os pesquisadores descobriram que a campanha mais recente redireciona usuários com um endereço IP turco para um site legítimo, basicamente cancelando o ataque, o que pode significar que a operação está baseada na Turquia.

Além disso, a Proofpoint notou que os atacantes foram muito seletivos com quais casos eles prosseguiriam para a fase de invasão de conta, priorizando alvos "VIP" e ignorando aqueles mais baixos na hierarquia.

Daqueles cujas contas foram violadas, 39% eram executivos de nível C, 9% eram CEOs e vice-presidentes, 17% eram diretores financeiros e o restante eram funcionários com acesso a ativos financeiros ou informações sensíveis.

Uma vez que uma conta Microsoft 365 é comprometida, os atores da ameaça adicionam seu próprio método de autenticação multifator (via Aplicativo Autenticador com Notificação e Código) para estabelecer persistência.

Kits de phishing por proxy reverso, e o EvilProxy em particular, são uma ameaça crescente capaz de entregar phishing de alta qualidade em escalas perigosas, enquanto contorna medidas de segurança e proteções de conta.

As organizações só podem se defender dessa ameaça através de maior conscientização de segurança, regras mais rígidas de filtragem de e-mail e adoção de chaves físicas baseadas em FIDO.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...