سرویس فیشینگ EvilProxy حفاظت از حسابها را تهدید میکند
سرویس فیشینگ EvilProxy حفاظت از حسابها را تهدید میکند
بر اساس یک پست وبلاگی که روز دوشنبه توسط شرکت امنیتی endpoint منتشر شد، یک پیشنهاد فیشینگ جدید به عنوان یک سرویس در وب تاریک تهدیدی برای حسابهای آنلاینی است که با احراز هویت چند عاملی محافظت میشوند.
در پست وبلاگ، محققان Resecurity خاطرنشان میکنند که این سرویس با نام EvilProxy به عوامل تهدید اجازه میدهد تا کمپینهای فیشینگ را با قابلیت دور زدن MFA در مقیاس بدون نیاز به هک کردن سرویسهای بالادستی راهاندازی کنند.
این سرویس از روشهایی استفاده میکند که توسط APT و گروههای جاسوسی سایبری ترجیح داده میشود تا حسابهای محافظت شده توسط وزارت خارجه را نقض کند. به گفته محققان، چنین حملاتی علیه مشتریان گوگل و مایکروسافت که MFA را در حساب های خود از طریق پیام متنی یا کد برنامه فعال کرده اند، کشف شده است.
پیوندهای فیشینگ تولید شده توسط EvilProxy به صفحات وب شبیهسازی شده منجر میشوند که برای به خطر انداختن حسابهای مرتبط با تعدادی از سرویسها از جمله Apple iCloud، Facebook، GoDaddy، GitHub، Dropbox، Instagram، NPM، PyPI، RubyGems، Twitter، Yahoo و Yandex ایجاد میشوند.
محققان نوشتند که به احتمال زیاد عوامل تهدید با استفاده از EvilProxy هدف قرار دادن توسعه دهندگان نرم افزار و مهندسان فناوری اطلاعات برای دسترسی به مخازن آنها با هدف نهایی هک کردن اهداف “پایین دستی” هستند.
آنها توضیح دادند که این تاکتیکها به مجرمان سایبری اجازه میدهد از کاربران نهایی که تصور میکنند بستههای نرمافزاری را از منابع امن دانلود میکنند و انتظار به خطر انداختن آنها را ندارند، سوء استفاده کنند.
سریعتر، سریعتر، بهتر
آویاد گرشون، رهبر تیم تحقیقاتی امنیتی در Checkmarx، یک شرکت برنامه های امنیتی، در تل آویو، اسرائیل، گفت.
او به TechNewsWorld گفت: «تنها دو هفته پیش، اولین حمله فیشینگ را علیه مشارکتکنندگان PyPI مشاهده کردیم و اکنون میبینیم که این سرویس با در دسترستر کردن این کمپینها برای اپراتورهای فناوری پایینتر و افزودن قابلیت دور زدن MFA، گامهای بیشتری برداشته است.»
Tzachi Zorenstain، رئیس امنیت زنجیره تامین در Checkmarx، اضافه کرد که ماهیت حملات زنجیره تامین، دامنه و تاثیر حملات سایبری را افزایش میدهد.
او به TechNewsWorld گفت: «سوء استفاده از اکوسیستم منبع باز یک راه آسان برای مهاجمان برای افزایش اثربخشی حملات خود است. ما معتقدیم این آغاز روندی است که در ماههای آینده افزایش خواهد یافت.»
یک پلت فرم فیشینگ به عنوان یک سرویس همچنین می تواند اثربخشی مهاجم را افزایش دهد. جین یو، مدیر عامل Resecurity، خاطرنشان کرد که “از آنجایی که PhaaS می تواند کارها را در مقیاس انجام دهد، به دشمنان این امکان را می دهد تا در سرقت و جعل هویت کارآمدتر باشند.”
او به TechNewsWorld گفت: «کمپینهای فیشینگ قدیمی به پول و منابع نیاز دارند، که میتواند برای یک نفر سنگین باشد. “PhaaS سریعتر، سریعتر، بهتر است.”
او افزود: «این چیزی بسیار منحصر به فرد است. «تولید یک سرویس فیشینگ در این مقیاس بسیار نادر است.»
خوب بسته بندی شده
Alon Nachmani، مسئول CISO در AppViewX، یک شرکت مدیریت چرخه عمر گواهی و اتوماسیون شبکه، در شهر نیویورک، توضیح داد که بسیاری از خدمات غیرقانونی، هک و راهحلهایی برای اهداف مخرب محصولات هستند.
او به TechNewsWorld گفت: “با راه حل های PhaaS، عوامل مخرب تلاش کمتر و کمتری برای آماده شدن برای حمله دارند.”
او ادامه داد، “کاملا صادقانه بگویم، من متعجبم که مدت زیادی طول کشید تا تبدیل به یک چیز شود. بازارهای زیادی وجود دارد که می توانید باج افزار بخرید و آن را به کیف پول خود پیوند دهید. پس از انتشار، می توانید باج را جمع آوری کنید. تنها تفاوت اینجا این است که به طور کامل توسط مهاجم میزبانی می شود.”
مونیا دنگ، مدیر بازاریابی محصول در بولستر، یک ارائه دهنده خودکار حفاظت از ریسک دیجیتال، در لوس آلتوس، کالیفرنیا، اضافه کرد: اگرچه فیشینگ اغلب یک فعالیت کم تلاش در دنیای هک در نظر گرفته می شود، اما همچنان نیازمند کمی کار است. او توضیح میدهد که شما باید کارهایی مانند ایستادن در مقابل یک سایت فیشینگ، ایجاد یک ایمیل، ایجاد یک مدیر خودکار، و امروزه سرقت اعتبارنامههای 2FA در بالای اعتبارنامههای اولیه خود را انجام دهید.
او ادامه داد، “با PhaaS، همه چیز به خوبی بر اساس اشتراک برای مجرمانی که به هیچ تجربه ای در زمینه هک یا حتی مهندسی اجتماعی نیاز ندارند، بسته می شود. این در را به روی بسیاری از بازیگران تهدید کننده باز می کند که به دنبال سوء استفاده از سازمان ها برای منافع خود هستند. آنها.” .
بازیگران بد، نمایش های عالی
محققان امنیت توضیح دادند که پرداخت برای EvilProxy به صورت دستی از طریق یک تریگر در تلگرام تنظیم می شود. پس از دریافت وجه اشتراک، به حساب پورتال مشتری که در TOR میزبانی شده است، واریز خواهند کرد. این کیت با قیمت 400 دلار در ماه موجود است.
پورتال EvilProxy شامل بسیاری از آموزش ها و ویدیوهای تعاملی در مورد استفاده از سرویس و نکات پیکربندی است. محققان نوشتند: «راستش، بازیگران بد از نظر قابلیت استفاده از سرویس، پیکربندی کمپینهای جدید، جریان ترافیک و جمعآوری دادهها کار بزرگی انجام دادند.
جورج گرشاو، مدیر ارشد فناوری و معاون ارشد فناوری اطلاعات در Sumo Logic، یک شرکت تحلیلی متمرکز بر امنیت، عملیات و هوش تجاری، در شهر ردوود، کالیفرنیا، خاطرنشان کرد: «این حمله فقط بلوغ جامعه بازیگران بد را نشان میدهد».
او به TechNewsWorld گفت: “آنها این کیت ها را با مستندات و فیلم های دقیق بسته بندی می کنند تا کار را آسان تر کنند.”
محققان خاطرنشان کردند که این سرویس از اصل “پراکسی معکوس” استفاده می کند. این کار به این صورت است: بازیگران بد قربانیان را به یک صفحه فیشینگ هدایت میکنند، از پروکسی معکوس برای واکشی تمام محتوای قانونی که کاربر انتظار دارد ببیند استفاده میکنند، و هنگام عبور از پروکسی، ترافیک آنها را استشمام میکنند.
هدر ایانوچی، تحلیلگر CTI در Tanium، سازنده پلتفرم امنیتی و مدیریت نقطه پایانی، در کرکلند، واشنگتن، گفت: «این حمله نشان میدهد که موانع ورود برای بازیگران غیرمجاز چقدر پایین است.
او به TechNewsWorld گفت: “با EvilProxy، یک سرور پروکسی بین سرور پلتفرم قانونی و صفحه فیشینگ وجود دارد که کوکی جلسه قربانی را می دزدد.” سپس عامل تهدید کننده می تواند از این مورد استفاده کند تا به عنوان کاربر بدون MFA وارد سایت قانونی شود.
یو افزود: “دفاع در برابر EvilProxy چالش برانگیز است زیرا فریب قربانی و دور زدن رویکرد درآمد چندگانه را ترکیب می کند.” “تسویه حساب واقعی برای قربانی قابل مشاهده نیست. همه چیز خوب به نظر می رسد، اما اینطور نیست.”
همچنان معتبر است
Nachmany هشدار داد که کاربران باید نگران اثربخشی MFA باشند که از پیامهای متنی یا نشانههای برنامه استفاده میکند. او گفت: “Phaas برای استفاده طراحی شده است و این روندی است که در بازار ما رشد خواهد کرد.”
وی افزود: استفاده از گواهینامه ها به عنوان یک عامل اضافی یکی از عواملی است که انتظار دارم به زودی استفاده از آنها افزایش یابد.
پاتریک هار، مدیر عامل SlashNext، یک شرکت امنیت شبکه در Pleasanton، کالیفرنیا، گفت: اگرچه کاربران باید هنگام استفاده از MFA مراقب باشند، اما هنوز هم راهی موثر برای کاهش فیشینگ است.
او گفت: «استفاده از اعتبارنامههای به خطر افتاده برای نقض یک سازمان دشوارتر میشود، اما بیخطا نیست». اگر پیوندی کاربر را به یک کپی جعلی از یک سایت قانونی هدایت کند – سایتی که تشخیص آن تقریبا غیرممکن است – ممکن است کاربر قربانی یک حمله دشمن در وسط شود، مانند حمله ای که EvilProxy استفاده می کند.