- EvilProxy là một nền tảng dịch vụ proxy ngược hứa hẹn sẽ đánh cắp mã thông báo xác thực để đánh bại xác thực đa yếu tố trên nhiều trang web. Dịch vụ này cho phép những kẻ đe dọa có kỹ năng thấp, những người không biết cách thiết lập proxy ngược có thể đánh cắp các tài khoản internet được bảo vệ tốt.
- Doanh nghiệp tuyên bố đánh cắp tên người dùng, mật khẩu và cookie phiên với giá 150 USD trong 10 ngày, 250 USD trong 20 ngày hoặc 400 USD cho chiến dịch kéo dài một tháng.
- Các cuộc tấn công nhằm vào tài khoản Google tốn kém hơn, trị giá 250/450/600.
- Scác dịch vụ như EvilProxy thu hẹp khoảng cách kỹ năng một cách hiệu quả và cung cấp cho các tác nhân đe dọa cấp thấp tùy chọn chi phí thấp để đánh cắp các tài khoản quan trọng.
EvilProxy là một nền tảng Phishing-as-a-Service (PaaS) proxy ngược hứa hẹn sẽ đánh cắp mã thông báo xác thực để đánh bại xác thực đa yếu tố (MFA) trên AppleGoogle, FacebookMicrosoft, Twitter, GitHub, GoDaddy và thậm chí cả PyPI. Dịch vụ này cho phép những kẻ đe dọa có kỹ năng thấp, những người không biết cách thiết lập proxy ngược có thể đánh cắp các tài khoản internet được bảo vệ tốt.
Lừa đảo proxy ngược là gì?
Máy chủ giữa nạn nhân dự định và điểm cuối xác thực chính hãng, chẳng hạn như biểu mẫu đăng nhập của công ty, là proxy ngược. Khi nạn nhân truy cập một trang lừa đảo, proxy ngược sẽ hiển thị biểu mẫu đăng nhập hợp pháp, chuyển yêu cầu đến trang web của công ty và trả về câu trả lời.
Khi nạn nhân nhập thông tin xác thực và MFA của họ trên trang lừa đảo, chúng sẽ được gửi đến máy chủ của nền tảng chính hãng, nơi người dùng đăng nhập và cookie phiên được trả về.
Tuy nhiên, vì proxy của kẻ đe dọa nằm ở giữa nên nó có thể lấy mã thông báo xác thực từ cookie phiên. Sau đó, các tác nhân đe dọa có thể sử dụng cookie xác thực này để đăng nhập vào trang web với tư cách là người dùng, phá vỡ mọi biện pháp xác thực đa yếu tố đã được kích hoạt.
Trong một thời gian dài, các nhóm APT tinh vi đã sử dụng proxy ngược để phá vỡ các biện pháp bảo vệ MFA trên tài khoản mục tiêu, một số sử dụng các công cụ riêng của họ và một số khác sử dụng các bộ công cụ có thể triển khai dễ dàng hơn như Modlishka, Necrobrowser và Evilginx2.
EvilProxy khiến tin tặc đánh cắp dữ liệu người dùng quá dễ dàng
Sự khác biệt giữa các khung lừa đảo này và EvilProxy là EvilProxy dễ cài đặt hơn nhiều, với các video hướng dẫn và hướng dẫn kỹ lưỡng, giao diện đồ họa thân thiện với người dùng và một bộ sưu tập lớn các trang web lừa đảo nhân bản dành cho các dịch vụ trực tuyến nổi tiếng.
Dựa theo Bảo mật lại, EvilProxy cung cấp một GUI dễ sử dụng, nơi các tác nhân đe dọa có thể thiết lập và quản lý các chiến dịch lừa đảo cũng như tất cả các yếu tố đi kèm với chúng. Với 150 USD trong 10 ngày, 250 USD trong 20 ngày hoặc 400 USD cho chiến dịch kéo dài một tháng, doanh nghiệp này tuyên bố sẽ đánh cắp tên người dùng, mật khẩu và cookie phiên. Các cuộc tấn công nhằm vào tài khoản Google tốn kém hơn, trị giá 250/450/600.
trong một băng hình, Bảo mật lại cho thấy một cuộc tấn công vào tài khoản Google sẽ diễn ra như thế nào khi sử dụng EvilProxy. Mặc dù dịch vụ này thường xuyên được quảng bá trên nhiều diễn đàn hack web đen và Clearnet, nhưng khách hàng đã được xem xét kỹ lưỡng, vì vậy một số giao dịch mua tiềm năng có thể bị từ chối.
Theo Resecurity, việc thanh toán cho dịch vụ này được thực hiện riêng lẻ trên Telegram. Sau khi gửi tiền, khách hàng có quyền truy cập vào cổng nằm trên mạng hành tây (TOR). Thử nghiệm của nền tảng bởi Resecurity đã xác minh rằng EvilProxy cũng cung cấp tính năng bảo vệ VM, chống phân tích và chống bot để lọc những khách truy cập không hợp lệ hoặc không mong muốn trên các trang web lừa đảo của nền tảng.
Các vấn đề an ninh mạng bị cáo buộc của Twitter đang khiến doanh nghiệp đau đầu
Resecurity giải thích trong báo cáo: “Những kẻ xấu đang sử dụng nhiều kỹ thuật và cách tiếp cận để nhận dạng nạn nhân và bảo vệ mã bộ công cụ lừa đảo khỏi bị phát hiện. Giống như các giải pháp ngăn chặn gian lận và thông tin đe dọa mạng (CTI), chúng tổng hợp dữ liệu về các dịch vụ VPN, Proxy, nút thoát TOR đã biết và các máy chủ khác có thể được sử dụng để phân tích danh tiếng IP (của các nạn nhân tiềm năng).
Khi việc sử dụng MFA ngày càng tăng, ngày càng nhiều tác nhân đe dọa chuyển sang kỹ thuật proxy ngược và sự phát triển của một nền tảng tự động hóa mọi thứ cho tội phạm và là tin xấu đối với các chuyên gia bảo mật và quản trị viên mạng.
Công cụ phát hiện email lừa đảo có thể giúp người dùng tránh bị tấn công mạng
Hiện tại, cách duy nhất để giải quyết vấn đề này là sử dụng dấu vân tay TLS phía máy khách để phát hiện và lọc ra các yêu cầu trung gian. Tuy nhiên, tình trạng triển khai của ngành còn chưa theo kịp tiến độ.
Do đó, các dịch vụ như EvilProxy thu hẹp khoảng cách kỹ năng một cách hiệu quả và cung cấp cho các tác nhân đe dọa cấp thấp tùy chọn chi phí thấp để đánh cắp các tài khoản quan trọng.
