سرویس فیشینگ EvilProxy حفاظت از حساب‌ها را تهدید می‌کند

بر اساس یک پست وبلاگی که روز دوشنبه توسط شرکت امنیتی endpoint منتشر شد، یک پیشنهاد فیشینگ جدید به عنوان یک سرویس در وب تاریک تهدیدی برای حساب‌های آنلاینی است که با احراز هویت چند عاملی محافظت می‌شوند.

در پست وبلاگ، محققان Resecurity خاطرنشان می‌کنند که این سرویس با نام EvilProxy به عوامل تهدید اجازه می‌دهد تا کمپین‌های فیشینگ را با قابلیت دور زدن MFA در مقیاس بدون نیاز به هک کردن سرویس‌های بالادستی راه‌اندازی کنند.

این سرویس از روش‌هایی استفاده می‌کند که توسط APT و گروه‌های جاسوسی سایبری ترجیح داده می‌شود تا حساب‌های محافظت شده توسط وزارت خارجه را نقض کند. به گفته محققان، چنین حملاتی علیه مشتریان گوگل و مایکروسافت که MFA را در حساب های خود از طریق پیام متنی یا کد برنامه فعال کرده اند، کشف شده است.

پیوندهای فیشینگ تولید شده توسط EvilProxy به صفحات وب شبیه‌سازی شده منجر می‌شوند که برای به خطر انداختن حساب‌های مرتبط با تعدادی از سرویس‌ها از جمله Apple iCloud، Facebook، GoDaddy، GitHub، Dropbox، Instagram، NPM، PyPI، RubyGems، Twitter، Yahoo و Yandex ایجاد می‌شوند.

محققان نوشتند که به احتمال زیاد عوامل تهدید با استفاده از EvilProxy هدف قرار دادن توسعه دهندگان نرم افزار و مهندسان فناوری اطلاعات برای دسترسی به مخازن آنها با هدف نهایی هک کردن اهداف “پایین دستی” هستند.

آنها توضیح دادند که این تاکتیک‌ها به مجرمان سایبری اجازه می‌دهد از کاربران نهایی که تصور می‌کنند بسته‌های نرم‌افزاری را از منابع امن دانلود می‌کنند و انتظار به خطر انداختن آنها را ندارند، سوء استفاده کنند.

سریعتر، سریعتر، بهتر

آویاد گرشون، رهبر تیم تحقیقاتی امنیتی در Checkmarx، یک شرکت برنامه های امنیتی، در تل آویو، اسرائیل، گفت.

او به TechNewsWorld گفت: «تنها دو هفته پیش، اولین حمله فیشینگ را علیه مشارکت‌کنندگان PyPI مشاهده کردیم و اکنون می‌بینیم که این سرویس با در دسترس‌تر کردن این کمپین‌ها برای اپراتورهای فناوری پایین‌تر و افزودن قابلیت دور زدن MFA، گام‌های بیشتری برداشته است.»

Tzachi Zorenstain، رئیس امنیت زنجیره تامین در Checkmarx، اضافه کرد که ماهیت حملات زنجیره تامین، دامنه و تاثیر حملات سایبری را افزایش می‌دهد.

او به TechNewsWorld گفت: «سوء استفاده از اکوسیستم منبع باز یک راه آسان برای مهاجمان برای افزایش اثربخشی حملات خود است. ما معتقدیم این آغاز روندی است که در ماه‌های آینده افزایش خواهد یافت.»

یک پلت فرم فیشینگ به عنوان یک سرویس همچنین می تواند اثربخشی مهاجم را افزایش دهد. جین یو، مدیر عامل Resecurity، خاطرنشان کرد که “از آنجایی که PhaaS می تواند کارها را در مقیاس انجام دهد، به دشمنان این امکان را می دهد تا در سرقت و جعل هویت کارآمدتر باشند.”

او به TechNewsWorld گفت: «کمپین‌های فیشینگ قدیمی به پول و منابع نیاز دارند، که می‌تواند برای یک نفر سنگین باشد. “PhaaS سریعتر، سریعتر، بهتر است.”

او افزود: «این چیزی بسیار منحصر به فرد است. «تولید یک سرویس فیشینگ در این مقیاس بسیار نادر است.»

خوب بسته بندی شده

Alon Nachmani، مسئول CISO در AppViewX، یک شرکت مدیریت چرخه عمر گواهی و اتوماسیون شبکه، در شهر نیویورک، توضیح داد که بسیاری از خدمات غیرقانونی، هک و راه‌حل‌هایی برای اهداف مخرب محصولات هستند.

او به TechNewsWorld گفت: “با راه حل های PhaaS، عوامل مخرب تلاش کمتر و کمتری برای آماده شدن برای حمله دارند.”

او ادامه داد، “کاملا صادقانه بگویم، من متعجبم که مدت زیادی طول کشید تا تبدیل به یک چیز شود. بازارهای زیادی وجود دارد که می توانید باج افزار بخرید و آن را به کیف پول خود پیوند دهید. پس از انتشار، می توانید باج را جمع آوری کنید. تنها تفاوت اینجا این است که به طور کامل توسط مهاجم میزبانی می شود.”

مونیا دنگ، مدیر بازاریابی محصول در بولستر، یک ارائه دهنده خودکار حفاظت از ریسک دیجیتال، در لوس آلتوس، کالیفرنیا، اضافه کرد: اگرچه فیشینگ اغلب یک فعالیت کم تلاش در دنیای هک در نظر گرفته می شود، اما همچنان نیازمند کمی کار است. او توضیح می‌دهد که شما باید کارهایی مانند ایستادن در مقابل یک سایت فیشینگ، ایجاد یک ایمیل، ایجاد یک مدیر خودکار، و امروزه سرقت اعتبارنامه‌های 2FA در بالای اعتبارنامه‌های اولیه خود را انجام دهید.

او ادامه داد، “با PhaaS، همه چیز به خوبی بر اساس اشتراک برای مجرمانی که به هیچ تجربه ای در زمینه هک یا حتی مهندسی اجتماعی نیاز ندارند، بسته می شود. این در را به روی بسیاری از بازیگران تهدید کننده باز می کند که به دنبال سوء استفاده از سازمان ها برای منافع خود هستند. آنها.” .

بازیگران بد، نمایش های عالی

محققان امنیت توضیح دادند که پرداخت برای EvilProxy به صورت دستی از طریق یک تریگر در تلگرام تنظیم می شود. پس از دریافت وجه اشتراک، به حساب پورتال مشتری که در TOR میزبانی شده است، واریز خواهند کرد. این کیت با قیمت 400 دلار در ماه موجود است.

پورتال EvilProxy شامل بسیاری از آموزش ها و ویدیوهای تعاملی در مورد استفاده از سرویس و نکات پیکربندی است. محققان نوشتند: «راستش، بازیگران بد از نظر قابلیت استفاده از سرویس، پیکربندی کمپین‌های جدید، جریان ترافیک و جمع‌آوری داده‌ها کار بزرگی انجام دادند.

جورج گرشاو، مدیر ارشد فناوری و معاون ارشد فناوری اطلاعات در Sumo Logic، یک شرکت تحلیلی متمرکز بر امنیت، عملیات و هوش تجاری، در شهر ردوود، کالیفرنیا، خاطرنشان کرد: «این حمله فقط بلوغ جامعه بازیگران بد را نشان می‌دهد».

او به TechNewsWorld گفت: “آنها این کیت ها را با مستندات و فیلم های دقیق بسته بندی می کنند تا کار را آسان تر کنند.”

محققان خاطرنشان کردند که این سرویس از اصل “پراکسی معکوس” استفاده می کند. این کار به این صورت است: بازیگران بد قربانیان را به یک صفحه فیشینگ هدایت می‌کنند، از پروکسی معکوس برای واکشی تمام محتوای قانونی که کاربر انتظار دارد ببیند استفاده می‌کنند، و هنگام عبور از پروکسی، ترافیک آنها را استشمام می‌کنند.

هدر ایانوچی، تحلیلگر CTI در Tanium، سازنده پلتفرم امنیتی و مدیریت نقطه پایانی، در کرکلند، واشنگتن، گفت: «این حمله نشان می‌دهد که موانع ورود برای بازیگران غیرمجاز چقدر پایین است.

او به TechNewsWorld گفت: “با EvilProxy، یک سرور پروکسی بین سرور پلتفرم قانونی و صفحه فیشینگ وجود دارد که کوکی جلسه قربانی را می دزدد.” سپس عامل تهدید کننده می تواند از این مورد استفاده کند تا به عنوان کاربر بدون MFA وارد سایت قانونی شود.

یو افزود: “دفاع در برابر EvilProxy چالش برانگیز است زیرا فریب قربانی و دور زدن رویکرد درآمد چندگانه را ترکیب می کند.” “تسویه حساب واقعی برای قربانی قابل مشاهده نیست. همه چیز خوب به نظر می رسد، اما اینطور نیست.”

همچنان معتبر است

Nachmany هشدار داد که کاربران باید نگران اثربخشی MFA باشند که از پیام‌های متنی یا نشانه‌های برنامه استفاده می‌کند. او گفت: “Phaas برای استفاده طراحی شده است و این روندی است که در بازار ما رشد خواهد کرد.”

وی افزود: استفاده از گواهینامه ها به عنوان یک عامل اضافی یکی از عواملی است که انتظار دارم به زودی استفاده از آنها افزایش یابد.

پاتریک هار، مدیر عامل SlashNext، یک شرکت امنیت شبکه در Pleasanton، کالیفرنیا، گفت: اگرچه کاربران باید هنگام استفاده از MFA مراقب باشند، اما هنوز هم راهی موثر برای کاهش فیشینگ است.

او گفت: «استفاده از اعتبارنامه‌های به خطر افتاده برای نقض یک سازمان دشوارتر می‌شود، اما بی‌خطا نیست». اگر پیوندی کاربر را به یک کپی جعلی از یک سایت قانونی هدایت کند – سایتی که تشخیص آن تقریبا غیرممکن است – ممکن است کاربر قربانی یک حمله دشمن در وسط شود، مانند حمله ای که EvilProxy استفاده می کند.