EvilProxy comercializa tática de proxy reverso para phishing, ignorando 2FA

Views: 374
0 0
Read Time:5 Minute, 13 Second

Uma oferta de phishing como serviço que está sendo vendida na Dark Web usa uma tática que pode transformar uma sessão de usuário em um proxy para contornar a autenticação de dois fatores (2FA), descobriram os pesquisadores.

O serviço, amplamente chamado de EvilProxy, usa métodos de proxy reverso e injeção de cookies para dar aos agentes de ameaças uma maneira de contornar o 2FA “na maior escala, sem a necessidade de hackear serviços upstream”, disseram pesquisadores da Resecurity em um relatório publicado na segunda-feira. O princípio é realmente bastante simples, eles acrescentaram: depois que as vítimas são atraídas para uma página de phishing, os agentes de ameaças usam um proxy reverso para buscar todo o conteúdo legítimo que os usuários esperam ver – incluindo páginas de login – e, em seguida, farejam o tráfego das vítimas à medida que ele passa. o procurador.

“Dessa forma, eles podem coletar cookies de sessão válidos e ignorar a necessidade de autenticação com nomes de usuários, senhas e/ou tokens 2FA”, escreveram os pesquisadores.

Ao mesmo tempo, a abordagem oferece aos cibercriminosos maneiras de atacar os desenvolvedores para facilitar os ataques à cadeia de suprimentos que afetam os clientes a jusante, disseram eles.

Em ataques recentes, o EvilProxy está sendo usado para direcionar contas de consumidores pertencentes aos principais players de tecnologia, como Apple, Dropbox, Facebook, GoDaddy, Google, Instagram, Microsoft, Twitter e Yahoo.

EvilProxy: Uma Evolução

EvilProxy representa uma evolução nas estratégias de phishing, de acordo com o relatório, uma vez que as abordagens de proxy reverso são mais comumente vistas em ameaças persistentes avançadas (APT) e atividades de espionagem cibernética. Agora, o serviço torna esse recurso amplamente disponível para o mercado cibercriminoso, disseram os pesquisadores.

Algumas fontes se referem ao serviço EvilProxy como “Moloch”, que está conectado a um kit de phishing desenvolvido anteriormente que visava as instituições financeiras e o setor de comércio eletrônico, disseram os pesquisadores.

No entanto, EvilProxy tem diferentes vítimas em mente, de acordo com um vídeo de demonstração que seus atores lançaram em maio. As contas do Google e da Microsoft, em particular, parecem ser os principais alvos dos agentes de ameaças do EvilProxy.

Adquirindo o serviço

Os cibercriminosos podem comprar o EvilProxy por assinatura com base no serviço online que planejam segmentar – como Facebook ou LinkedIn – após o qual é ativado por um período específico de tempo, dependendo da descrição do plano, disseram os pesquisadores. As opções de plano incluem 10, 20 ou 31 dias, de acordo com as listagens do serviço em vários fóruns de hackers da Dark Web, disseram eles.

Um dos principais atores do EvilProxy atende pelo nome de “John_Malkovich” e atua como administrador para avaliar novos clientes nas principais comunidades subterrâneas, incluindo XSS, Exploit e Breached, disseram os pesquisadores.

Os cibercriminosos podem pagar pelo EvilProxy por meio de um operador no Telegram em um arranjo manual que deposita os fundos recebidos em uma conta em um portal do cliente hospedado no TOR. O serviço também está disponível na Dark Web hospedada na rede TOR, com um kit disponível por US$ 400 por mês.

O portal inicial do serviço EvilProxy facilita para quem o compra continuar com suas campanhas de phishing, fornecendo vários tutoriais e vídeos interativos sobre o uso do serviço e dicas de configuração, disseram os pesquisadores.

“Para ser franco, os maus atores fizeram um ótimo trabalho em termos de usabilidade do serviço e configurabilidade de novas campanhas, fluxos de tráfego e coleta de dados”, reconheceram.

Depois que o serviço é ativado, um operador deve fornecer credenciais SSH para implantar ainda mais um contêiner do Docker e um conjunto de scripts que, após a ativação bem-sucedida, encaminharão o tráfego das vítimas por meio de dois gateways definidos como “upstream”.

Como é comum em campanhas de phishing, os invasores registram nomes de domínio que parecem semelhantes em ortografia a serviços online relacionados para mascará-los para uso em campanhas de phishing, observaram os pesquisadores.

Conexões com ataques cibernéticos recentes na cadeia de suprimentos

EvilProxy também é notável por suas conexões com atividades de ameaças recentes – o primeiro ataque de phishing conhecido a usuários do Python Package Index (PyPI), o repositório oficial da linguagem Python e um ataque à cadeia de suprimentos relacionado a uma violação de credencial no Twilio , pesquisadores disse.

Em relação ao primeiro, o EvilProxy suporta ataques contra o PyPI com a inclusão de uma carga útil chamada JuiceStealer no serviço, disseram os pesquisadores. O malware de roubo de informações foi usado no ataque de phishing PyPI e adicionado de forma suspeita ao EvilProxy pouco antes do ataque acontecer, disseram os pesquisadores.

EvilProxy também suporta ataques no GitHub e no gerenciador de pacotes JavaScript amplamente usado NPJMS. Isso permite que o serviço forneça campanhas avançadas de phishing para ataques à cadeia de suprimentos, visando desenvolvedores de software e engenheiros de TI, que podem inadvertidamente adicionar código comprometido a aplicativos e ampliar a propagação do ataque sem que os usuários finais suspeitem de nada, disseram os pesquisadores.

De fato, o ataque Twilio foi um lembrete do que pode acontecer quando as empresas são pegas de surpresa, observou um profissional de segurança. Nesse ataque, os agentes de ameaças usaram credenciais Okta de phishing para obter acesso a sistemas internos, aplicativos e dados de clientes, afetando cerca de 25 organizações downstream que usam a verificação de telefone do Twilio e outros serviços.

“Muitas organizações assumem que uma autenticação forte é suficiente para proteger seus ativos e dados internos”, disse Ronen Slavin, cofundador e CTO da Cycode, fornecedora de soluções de segurança da cadeia de suprimentos de software, à Dark Reading. “Como resultado dessa mentalidade, a maioria das organizações credencia demais seus desenvolvedores e expõe muitos segredos codificados em locais como repositórios, logs de compilação, contêineres e muito mais.”

Com os ataques de phishing cada vez mais avançados em ambos os métodos para contornar as proteções de segurança e direcionar os desenvolvedores, as empresas precisam ser mais cautelosas com quem dentro da organização tem acesso avançado aos sistemas, acrescenta.

“A principal aprendizagem deste ataque é assumir que as contas dos desenvolvedores estão comprometidas e que os insiders podem ser maliciosos”, diz Slavin.

FONTE: DARK READING

POSTS RELACIONADOS

Categorias

Posts Recentes

A evolução da resposta a ransomware com análise forense automatizada

12/12/2025 Ameaça

A nova fase da continuidade de negócios com EKM, Zero Trust e automação

10/12/2025 Cibersegurança, Proteção

Soberania digital na era da IA em ambientes multicloud

08/12/2025 Cibersegurança, Prevenção, Proteção

Criptografia Unificada: o caminho para chaves e segredos consistentes

05/12/2025 Cibersegurança, Proteção

Maturidade cibernética redefine a relação entre governo e fornecedores de tecnologia

03/12/2025 Cibersegurança, Compliance

Bad bots e IA generativa desafiam o e-commerce na temporada de compras de 2025

01/12/2025 Ameaça, Prevenção
Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL