Microsoft og Dark Web spiller alle en rolle i dette EvilProxy phishing-angreb. Den gode nyhed er, at der findes skridt som jeres IT afdeling kan tage for at mindske denne sikkerhedstrussel.
Et nyt EvilProxy phishing-angreb udnytter en åben omdirigeringsfejl fra den legitime jobportal Indeed.com, ifølge en rapport fra Menlo Security, et cloud-baseret sikkerhedsfirma. Menlo Security bemærker, at denne phishing-kampagne sigter mod C-suite medarbejdere og andre nøgleledere i amerikanske organisationer primært inden for produktion, forsikring, bankvæsen og finansielle tjenester, ejendomsadministration og ejendomsmæglervirksomhed.
Hvad er EvilProxy?
EvilProxy er en phishing som en service-kit, der har eksisteret siden mindst september 2022. Denne kit giver en angriber mulighed for at omgå to-faktor autentificering ved hjælp af en omvendt proxy-funktionalitet. For at opnå denne operation opretter EvilProxy-tjenesten en phishing-hjemmeside i henhold til valgte indstillinger, inden kittet implementeres på internettet.
Når en bruger tilgår phishing-siden, bliver de bedt om at angive deres legitimationsoplysninger og 2FA-kode. Disse oplysninger bruges i realtid af kittet til at åbne en kapret session på den legitime service, som angriberen sigter efter. EvilProxy sælges på Dark Web som en abonnementsbaseret service med planer fra 10 til 31 dage.
Hvordan denne nye phishing-kampagne udnytter Indeed.com
Dette nye EvilProxy-angreb starter med en phishing-email sendt til mål. E-mailen indeholder et link, der udnytter en åben omdirigeringsfejl fra Indeed. Omdirigeringsfejl er web-links, der kan bruges på legitime websteder af forskellige årsager; dog skal omdirigeringsfejl implementeres korrekt for at undgå misbrug. En åben omdirigering er en omdirigering, der kan omdirigere browseren til ethvert eksternt domæne.
I dette angreb udnytter trusselaktøren et underdomæne t.indeed.com, som er en åben omdirigeringsfejl, når den tildeles korrekte parametre: Når målet klikker på linket, omdirigeres de til en falsk Microsoft login-side, som leveres af EvilProxy-kittet. Den intetanende målgruppe giver deres legitimationsoplysninger og 2FA-kode til phishing-siden. På server-siden bruger kittet disse legitimationsoplysninger og 2FA i realtid for at give angriberen en gyldig sessionscookie, som kan bruges til at få adgang til ofrets ressourcer på Microsoft-webstedet. Udover omdirigeringen fra Indeed.com følger der også to andre omdirigeringer, der styres af angriberne.
Teknisk bevis på EvilProxy-brug
Ifølge forskerne hostes phishing-siderne på fælles URI-stier, der ofte bruges af EvilProxy:
/ests/2.1/content/
/shared/1.0/content/
/officehub/bundles/
Phishing-kittet bruger også Microsofts Ajax Content Delivery Network til at hjælpe med dynamisk indhentning og gengivelse af JavaScript-indhold.
En HTTP POST-anmodning indeholder offerets base64-kodede e-mailadresse og en sessionsidentifikator, hvilket også er typisk for EvilProxy phishing-kittet. Biblioteket FingerprintJS bruges også til browser-fingerprinting.
Forskeren Ravisankar Ramprasad forklarer, at IP-adresser, EvilProxy, samt websteder med 444-statuskode med underdomæner som lmo., auth., live., login-live. og mso.
Hvilke brancher er mål for denne phishing-kampagne?
Ud over produktion, forsikring, bank- og finansielle tjenester, ejendomsadministration og ejendomsmæglervirksomhed er andre berørte sektorer i faldende rækkefølge elektroniske komponenter produktion, farmaceutiske, sundhedspleje og byggeri. Cirka 3% af målene er i andre sektorer, der inkluderer software, forretningsrådgivning, regnskab, forsyningskædestyring og logistik. Hvordan man mindsker denne EvilProxy phishing-trussel
Serviceudbydere og websteder bør ikke tillade omdirigeringer uden ordentlig kontrol og rensning af de parametre, der leveres til omdirigeringsfejlen. De fleste omdirigeringsfejl skal konfigureres til kun at tillade interne links. Hvis et websted har brug for en omdirigering til et eksternt link, skal yderligere sikkerhedsforanstaltninger, såsom brug af whitelist over eksterne domæner, implementeres.
Medarbejdere skal trænes i at opdage phishing-e-mails og ondsindede links, der kan være indeholdt i dem. I tilfælde af tvivl skal medarbejderne have en nem måde, muligvis via en klikbar knap i deres e-mail-klient, til at rapportere en mistænkelig e-mail til IT-sikkerhedspersonalet til yderligere analyse. Derudover skal e-mail-sikkerhedsløsninger implementeres for at opdage forsøg på phishing eller malware-infektion.
Alle operativsystemer og software skal altid være opdaterede og patchede for at undgå at blive kompromitteret af en almindelig sårbarhed.