En bekymrende phishing-kampagne kendt som EvilProxy har rettet sig mod svimlende 120.000 Microsoft 365-brugere.

Denne stadig mere populære phishing-platform vinder kendt for sit fokus på at omgå multi-factor authentication (MFA) for at få adgang til kompromitterede konti. I løbet af fem måneder har forskere identificeret en massiv bølge af succesrige overtagelser af cloud-kontoer, der hovedsageligt påvirker højtstående ledere på tværs af adskillige organisationer.

Proofpoint, et cybersikkerhedsfirma, har afsløret disse bekymrende resultater. Den angrebsstrategi, som EvilProxy anvender, involverer en indviklet kombination af brandefterligning, unddragelse af botdetektionsmekanismer og smart brug af åbne omdirigeringer.

Forstå EvilProxy-angrebene

EvilProxy fungerer som et phishing-as-a-service-system, der udnytter omvendte proxyer til at manipulere godkendelsesanmodninger og brugerlegitimationsoplysninger mellem målbrugeren og den lovlige tjenestewebsted. Ved at fungere som mellemmand for login-formularen er phishing-serveren i stand til at stjæle autentificeringscookies, når en bruger logger ind på deres konto.

Det, der gør denne metode endnu mere bekymrende, er, at på grund af, at brugerne allerede har navigeret i MFA-udfordringer under login, giver de stjålne cookies angriberne et middel til at omgå multi-faktor-autentificering. En bemærkelsesværdig detalje fra september 2022, rapporteret af Resecurity, afslører, at EvilProxy markedsføres til cyberkriminelle for et månedligt abonnement på $400. Denne tjeneste lover muligheden for at målrette mod en række større konti, inklusive dem, der er forbundet med Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy og PyPI.

En frisk phishing-offensiv

Proofpoints seneste forskning afslører en ny phishing-kampagne, der har udspillet sig siden marts 2023. I denne bølge af angreb bliver EvilProxy brugt til at sende e-mails, der efterligner prominente mærker som Adobe, DocuSign og Concur. Hvis modtagere bliver ofre og klikker på det angivne link, føres de gennem en kæde af åbne omdirigeringer via platforme som YouTube eller SlickDeals. Disse flere omdirigeringer er omhyggeligt designet til at mindske chancerne for påvisning og analyse.

I sidste ende befinder ofrene sig på en EvilProxy-phishing-side, der afspejler Microsoft 365-logingrænsefladen. Denne side tilføjer en autenticitet og inkorporerer endda det visuelle tema for ofrets organisation. "For at undgå at udløse automatiserede scanningsværktøjer implementerede angriberne specifikke kodningsteknikker til bruger-e-mails. De udnyttede også kompromitterede legitime websteder til at uploade deres PHP-kode til afkodning af e-mailadresser," belyser Proofpoint.

I en interessant drejning har forskere bemærket, at brugere med tyrkiske IP-adresser omdirigeres til et legitimt websted, hvilket indikerer en potentiel tyrkisk oprindelse for operationen.

Desuden afslørede Proofpoint en bevidst selektivitet i angribernes valg for at gå videre til kontoovertagelsesstadiet. Fokus var på såkaldte "VIP"-mål, med lavere rangerende individer stort set ignoreret. Blandt de kompromitterede konti tilhørte 39% C-level executives, 9% til CEO'er og vicepræsidenter og 17% til Chief Financial Officers. De resterende mål var medarbejdere med adgang til følsomme oplysninger eller finansielle aktiver.

Ved kompromittering af en Microsoft 365-konto introducerer trusselsaktører deres egen metode til multifaktorgodkendelse (såsom via Authenticator-app med meddelelse og kode) for at etablere løbende kontrol.

Væksten af ​​omvendt proxy-phishing

Fremkomsten af ​​omvendt proxy-phishing-sæt, især EvilProxy, udgør en væsentlig trussel. Disse værktøjer muliggør phishing-kampagner af høj kvalitet i stor skala, der effektivt omgår sikkerhedsprotokoller og kontobeskyttelse.

At imødegå denne trussel kræver en kombination af øget sikkerhedsbevidsthed, strengere e-mail-filtreringsprotokoller og adoption af FIDO-baserede fysiske nøgler af organisationer.