Campanha de phishing EvilProxy tem como alvo 120.000 usuários do Microsoft 365
9 de Agosto de 2023

EvilProxy está se tornando uma das plataformas de phishing mais populares para atacar contas protegidas por MFA, com pesquisadores vendo 120.000 e-mails de phishing enviados a mais de uma centena de organizações para roubar contas do Microsoft 365.

Esta nova pesquisa vem da Proofpoint, que alerta para um aumento dramático de incidentes bem-sucedidos de invasão de contas na nuvem nos últimos cinco meses, impactando principalmente executivos de alta hierarquia.

A empresa de cibersegurança observou uma campanha em grande escala apoiada pelo EvilProxy, que combina a personificação de marca, evasão de detecção de bot e redirecionamentos abertos.

EvilProxy é uma plataforma de phishing como serviço que usa proxies reversos para retransmitir solicitações de autenticação e credenciais do usuário entre o usuário (alvo) e o site legítimo do serviço.

Como o servidor de phishing faz proxy do formulário de login legítimo, ele pode roubar cookies de autenticação assim que um usuário acessa sua conta.

Além disso, como o usuário já teve que passar por desafios MFA ao fazer login em uma conta, o cookie roubado permite que os atores de ameaça contornem a autenticação multifator.

Como relatado em setembro de 2022 pela Resecurity, EvilProxy é vendido a criminosos cibernéticos por $400/mês, prometendo a capacidade de atacar contas da Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy e PyPI.

Uma nova campanha de phishing observada por Proofpoint desde março de 2023 está usando o serviço EvilProxy para enviar e-mails que se passam por marcas populares como Adobe, DocuSign e Concur.

Se a vítima clicar no link incorporado, ela passará por um redirecionamento aberto via YouTube ou SlickDeals, seguido por uma série de redirecionamentos subsequentes que visam diminuir as chances de descoberta e análise.

Eventualmente, a vítima chega a uma página de phishing EvilProxy que faz o proxy reverso da página de login do Microsoft 365, que também apresenta o tema da organização da vítima para parecer autêntico.

"Para esconder o e-mail do usuário de ferramentas de varredura automáticas, os atacantes usaram codificação especial do e-mail do usuário, e usaram sites legítimos que foram hackeados, para enviar seu código PHP para decodificar o endereço de e-mail de um usuário específico", explica a Proofpoint.

"Depois de decodificar o endereço de e-mail, o usuário era encaminhado para o site final - a página de phishing real, feita sob medida apenas para a organização do alvo."

Os pesquisadores descobriram que a campanha mais recente redireciona usuários com um endereço IP turco para um site legítimo, basicamente cancelando o ataque, o que pode significar que a operação está baseada na Turquia.

Além disso, a Proofpoint notou que os atacantes foram muito seletivos com quais casos eles prosseguiriam para a fase de invasão de conta, priorizando alvos "VIP" e ignorando aqueles mais baixos na hierarquia.

Daqueles cujas contas foram violadas, 39% eram executivos de nível C, 9% eram CEOs e vice-presidentes, 17% eram diretores financeiros e o restante eram funcionários com acesso a ativos financeiros ou informações sensíveis.

Uma vez que uma conta Microsoft 365 é comprometida, os atores da ameaça adicionam seu próprio método de autenticação multifator (via Aplicativo Autenticador com Notificação e Código) para estabelecer persistência.

Kits de phishing por proxy reverso, e o EvilProxy em particular, são uma ameaça crescente capaz de entregar phishing de alta qualidade em escalas perigosas, enquanto contorna medidas de segurança e proteções de conta.

As organizações só podem se defender dessa ameaça através de maior conscientização de segurança, regras mais rígidas de filtragem de e-mail e adoção de chaves físicas baseadas em FIDO.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...