Resecurity ha recentemente identificato un nuovo Phishing-as-a-Service (PhaaS) chiamato EvilProxy e pubblicizzato nel Dark Web che consente ai threat actors di bypassare l’autenticazione a due fattori (2FA) per account di grandi operatori come Apple, Google, Microsoft e altri
Secondo alcune fonti il nome alternativo è Moloch, che ha qualche connessione con un kit di phishing sviluppato da diversi attori che in precedenza hanno preso di mira le istituzioni finanziarie e il settore dell’e-commerce.
EvilProxy consente agli attori delle minacce di attaccare gli utenti con MFA abilitato su larga scala senza la necessità di hackerare i servizi a monte.
Gli attori di EvilProxy utilizzano i metodi Reverse Proxy e Cookie Injection per aggirare l’autenticazione 2FA, proxy della sessione della vittima, metodi precedentemente osservati in campagne mirate di APT e gruppi di cyberspionaggio. Ora questi metodi sono stati prodotti con successo in EvilProxy, il che evidenzia l’importanza della crescita degli attacchi contro i servizi online e i meccanismi di autorizzazione MFA.
Sulla base dell’indagine in corso sul risultato di attacchi contro più dipendenti di aziende Fortune 500, Resecurity è stata in grado di ottenere una conoscenza sostanziale di EvilProxy, inclusa la sua struttura, i moduli, le funzioni e l’infrastruttura di rete utilizzata per condurre attività dannose. Le prime occorrenze di EvilProxy sono state inizialmente identificate in relazione ad attacchi contro i clienti di Google e MSFT che hanno abilitato l’autenticazione a più fattori sui loro account, sia con SMS che con token di applicazione.
La prima menzione di EvilProxy è stata rilevata all’inizio di maggio 2022, quando gli attori che lo gestiscono hanno rilasciato un video dimostrativo che descrive in dettaglio come potrebbe essere utilizzato per fornire collegamenti di phishing avanzati con l’intenzione di compromettere gli account di utenti appartenenti a marchi importanti come Apple, Facebook, GoDaddy, GitHub, Googlr, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex e altri.
In particolare, EvilProxy supporta anche gli attacchi di phishing contro Python Package Index (PyPi). x Oltre a PyPi, la funzionalità di EvilProxy supporta anche GitHub e npmjs (JavaScript Package Manager ampiamente utilizzato da oltre 11 milioni di sviluppatori in tutto il mondo) consentendo attacchi alla catena di approvvigionamento tramite campagne di phishing avanzate. È molto probabile che gli attori mirino a prendere di mira sviluppatori software e ingegneri IT per ottenere l’accesso ai loro repository con l’obiettivo finale di hackerare obiettivi “a valle”. Queste tattiche consentono ai criminali informatici di sfruttare l’insicurezza degli utenti finali che presumono di scaricare pacchetti software da risorse sicure e non si aspettano che venga compromessa.
EvilProxy utilizza il principio “Reverse Proxy”. Il concetto di proxy inverso è semplice: i malintenzionati guidano le vittime in una pagina di phishing, utilizzano il proxy inverso per recuperare tutto il contenuto legittimo che l’utente si aspetta, comprese le pagine di accesso, sniffando il loro traffico mentre passa attraverso il proxy. In questo modo possono raccogliere cookie di sessione validi e bypassare la necessità di autenticarsi con nomi utente, password e/o token 2FA.
EvilProxy è offerto in abbonamento, quando l’utente finale (un criminale informatico) sceglie un servizio di interesse a cui rivolgersi (es. Facebook o Linkedin), l’attivazione sarà per un determinato periodo di tempo (10, 20 o 31 giorni).
Sebbene la vendita di EvilProxy richieda una verifica, i criminali informatici ora dispongono di una soluzione economica e scalabile per eseguire attacchi di phishing avanzati per compromettere i consumatori dei servizi online più diffusi con l’autenticazione MFA abilitata. La comparsa di tali servizi nel Dark Web porterà a un aumento significativo dell’attività ATO/BEC e degli attacchi informatici mirati all’identità degli utenti finali, dove l’AMF può essere facilmente aggirato con l’aiuto di strumenti come EvilProxy, concludono gli esperti.
