سرویس فیشینگ EvilProxy حفاظت از حساب‌های وزارت خارجه را تهدید می‌کند

وی افزود: “استفاده از گواهینامه ها به عنوان یک عامل اضافی یکی از مواردی است که من پیش بینی می کنم به زودی استفاده از آن افزایش یابد.”

پاتریک هار، مدیر عامل SlashNext، یک شرکت امنیت شبکه در Pleasanton، کالیفرنیا، اظهار داشت: در حالی که کاربران باید هنگام استفاده از MFA مراقب باشند، اما همچنان یک کاهش موثر در برابر فیشینگ است.

بر اساس وبلاگی که روز دوشنبه توسط یک شرکت امنیتی نقطه پایانی منتشر شد، یک پیشنهاد جدید فیشینگ به عنوان یک سرویس در وب تاریک تهدیدی برای حساب‌های آنلاین محافظت شده با احراز هویت چند عاملی است.

پورتال EvilProxy شامل چندین آموزش و ویدیوهای تعاملی در مورد استفاده از سرویس و نکات پیکربندی است. محققان نوشتند: «صادقانه بگوییم، بازیگران بد از نظر قابلیت استفاده از سرویس، و پیکربندی کمپین‌های جدید، جریان ترافیک و جمع‌آوری داده‌ها کار بزرگی انجام دادند.»



منبع

جورج گرچو، CSO و معاون ارشد فناوری اطلاعات در Sumo Logic، یک شرکت تحلیلی که بر امنیت، عملیات و اطلاعات تجاری تمرکز دارد، در Redwood City، کالیفرنیا، مشاهده کرد: “این حمله فقط بلوغ جامعه بازیگران بد را نشان می دهد.”

او به TechNewsWorld گفت: «با استفاده از راه‌حل‌های PhaaS، بازیگران مخرب سربار کمتری دارند و امکان راه‌اندازی کمتری برای شروع یک حمله دارند.

این سرویس که EvilProxy نام دارد، به عوامل تهدید اجازه می‌دهد تا کمپین‌های فیشینگ را با قابلیت دور زدن MFA در مقیاس بدون نیاز به هک سرویس‌های بالادستی راه‌اندازی کنند.

محققان نوشتند که به احتمال زیاد عوامل تهدید کننده ای که از EvilProxy استفاده می کنند، هدف قرار دادن توسعه دهندگان نرم افزار و مهندسان فناوری اطلاعات برای دسترسی به مخازن آنها با هدف نهایی هک کردن اهداف “پایین دستی” هستند.

تبلیغات

پیوندهای فیشینگ تولید شده توسط EvilProxy به صفحات وب شبیه سازی شده منجر می شود که برای به خطر انداختن حساب های مرتبط با تعدادی از سرویس ها از جمله Apple iCloud، Facebook، GoDaddy، GitHub، Dropbox، Instagram، NPM، PyPI، RubyGems، Twitter، Yahoo و Yandex ساخته شده اند.

Alon Nachmany، مسئول CISO در AppViewX، یک شرکت مدیریت چرخه عمر گواهی و اتوماسیون شبکه، در شهر نیویورک، توضیح داد که بسیاری از خدمات غیرقانونی، هک و راه‌حل‌های هدف مخرب محصولات هستند.

یک پلت فرم فیشینگ به عنوان یک سرویس نیز می تواند اثربخشی مهاجم را افزایش دهد. Gene Yoo مدیر عامل Resecurity می گوید: «از آنجایی که PhaaS می تواند کارها را در مقیاس انجام دهد، به دشمنان این امکان را می دهد که در سرقت و جعل هویت کارآمدتر باشند.

یو افزود: “دفاع در برابر EvilProxy یک چالش است زیرا فریب قربانی و دور زدن MFA را ترکیب می کند.” «سازش واقعی برای قربانی نامرئی است. همه چیز خوب به نظر می رسد، اما اینطور نیست.»

هنوز موثر است

هدر ایانوچی، تحلیلگر CTI در Tanium، سازنده یک پلتفرم مدیریت نقطه پایانی و امنیت، در کرکلند، واش، گفت: «این حمله نشان می‌دهد که موانع ورود برای بازیگران ساده چقدر کم است.

مونیا دنگ، مدیر بازاریابی محصول در Bolster، ارائه‌دهنده حفاظت خودکار در معرض خطر دیجیتال، در لوس آلتوس، کالیفرنیا، اضافه کرد: در حالی که فیشینگ در دنیای هک کردن اغلب به عنوان یک فعالیت کم تلاش در نظر گرفته می‌شود، اما همچنان نیازمند کمی کار است. او توضیح داد که برای انجام کارهایی مانند راه اندازی یک سایت فیشینگ، ایجاد یک ایمیل، ایجاد یک مدیر خودکار، و امروزه، سرقت اعتبار 2FA در بالای اعتبارنامه های اولیه.

محققان خاطرنشان کردند که این سرویس از اصل “پروکسی معکوس” استفاده می کند. این کار به این صورت است: بازیگران بد قربانیان را به یک صفحه فیشینگ هدایت می‌کنند، از پروکسی معکوس برای واکشی تمام محتوای قانونی که کاربر انتظار دارد ببیند استفاده می‌کند، و هنگام عبور از پروکسی، ترافیک آنها را استشمام می‌کند.

او به TechNewsWorld گفت: “آنها این کیت ها را با مستندات و فیلم های دقیق بسته بندی می کنند تا کار را آسان کنند.”

او ادامه داد: «با PhaaS، همه چیز به صورت اشتراکی برای مجرمانی که نیازی به تجربه هک یا حتی مهندسی اجتماعی ندارند، به خوبی بسته بندی شده است. این زمینه را برای بسیاری از بازیگران تهدید کننده که به دنبال بهره برداری از سازمان ها برای منافع خود هستند، باز می کند.”

بازیگران بد، نرم افزار عالی

Nachmany هشدار داد که کاربران باید در مورد اثربخشی MFA که از پیام های متنی یا نشانه های برنامه استفاده می کند نگران باشند. او گفت: “Phaas برای استفاده از آنها طراحی شده است و این روندی است که در بازار ما رشد خواهد کرد.”

او به TechNewsWorld گفت: «با EvilProxy، یک سرور پراکسی بین سرور پلتفرم قانونی و صفحه فیشینگ قرار می‌گیرد که کوکی جلسه قربانی را می‌دزدد. “سپس عامل تهدید می تواند از این برای ورود به سایت قانونی به عنوان کاربر بدون MFA استفاده کند.”

او به TechNewsWorld گفت: «سوء استفاده از اکوسیستم منبع باز راهی آسان برای مهاجمان برای افزایش اثربخشی حملات خود است. ما معتقدیم این شروع روندی است که در ماه های آینده افزایش خواهد یافت.

محققان Resecurity توضیح دادند که پرداخت برای EvilProxy به صورت دستی از طریق اپراتور در تلگرام سازماندهی شده است. پس از دریافت وجوه برای اشتراک، آنها به حساب کاربری در پورتال مشتری میزبانی شده در TOR واریز می شوند. این کیت با قیمت 400 دلار در ماه موجود است.

آویاد گرشون، رهبر تیم تحقیقاتی امنیتی در Checkmarx، یک امنیت برنامه، گفت: «این حادثه تهدیدی برای زنجیره‌های تأمین نرم‌افزار است، زیرا توسعه‌دهندگان را هدف قرار می‌دهد و به مشتریان مجرم سایبری سرویس این امکان را می‌دهد تا کمپین‌هایی را علیه GitHub، PyPI و NPM راه اندازی کنند. شرکت، در تل آویو، اسرائیل.

او افزود: “این چیزی است که بسیار منحصر به فرد است.” “تولید یک سرویس فیشینگ در این مقیاس بسیار نادر است.”

به خوبی بسته بندی شده است