سرویس فیشینگ EvilProxy حفاظت از حساب‌های وزارت خارجه را تهدید می‌کند

سرویس فیشینگ EvilProxy
سرویس فیشینگ EvilProxy

بر اساس وبلاگی که روز دوشنبه توسط یک شرکت امنیتی نقطه پایانی منتشر شد، یک پیشنهاد جدید فیشینگ به عنوان یک سرویس در وب تاریک تهدیدی برای حساب‌های آنلاین محافظت شده با احراز هویت چند عاملی است.

این سرویس که EvilProxy نام دارد، به عوامل تهدید اجازه می‌دهد تا کمپین‌های فیشینگ را با قابلیت دور زدن MFA در مقیاس بدون نیاز به هک سرویس‌های بالادستی راه‌اندازی کنند.

این سرویس از روش‌های مورد علاقه APT و گروه‌های جاسوسی سایبری برای به خطر انداختن حساب‌های محافظت شده توسط وزارت امور خارجه استفاده می‌کند. به گفته محققان، چنین حملاتی علیه مشتریان گوگل و مایکروسافت که MFA را در حساب های خود فعال کرده اند، از طریق پیامک متنی یا توکن برنامه کشف شده است.

پیوندهای فیشینگ تولید شده توسط EvilProxy به صفحات وب شبیه سازی شده منجر می شود که برای به خطر انداختن حساب های مرتبط با تعدادی از سرویس ها از جمله Apple iCloud، Facebook، GoDaddy، GitHub، Dropbox، Instagram، NPM، PyPI، RubyGems، Twitter، Yahoo و Yandex ساخته شده اند.

محققان نوشتند که به احتمال زیاد عوامل تهدید کننده ای که از EvilProxy استفاده می کنند، هدف قرار دادن توسعه دهندگان نرم افزار و مهندسان فناوری اطلاعات برای دسترسی به مخازن آنها با هدف نهایی هک کردن اهداف “پایین دستی” هستند.

آنها توضیح دادند که این تاکتیک‌ها به مجرمان سایبری اجازه می‌دهد تا از کاربران نهایی که تصور می‌کنند بسته‌های نرم‌افزاری را از منابع امن دانلود می‌کنند و انتظار به خطر انداختن آنها را ندارند، سرمایه‌گذاری کنند.

سریعتر، سریعتر، بهتر

آویاد گرشون، رهبر تیم تحقیقاتی امنیتی در Checkmarx، یک امنیت برنامه، گفت: «این حادثه تهدیدی برای زنجیره‌های تأمین نرم‌افزار است، زیرا توسعه‌دهندگان را هدف قرار می‌دهد و به مشتریان مجرم سایبری سرویس این امکان را می‌دهد تا کمپین‌هایی را علیه GitHub، PyPI و NPM راه اندازی کنند. شرکت، در تل آویو، اسرائیل.

او به TechNewsWorld گفت: «فقط دو هفته پیش، اولین حمله فیشینگ علیه مشارکت کنندگان PyPI را دیدیم، و اکنون می بینیم که این سرویس با در دسترس قرار دادن این کمپین ها برای اپراتورهای فنی کمتر و با افزودن این قابلیت، آن را چند قدم جلوتر می برد. برای دور زدن وزارت امور خارجه.»

Tzachi Zorenstain، رئیس امنیت زنجیره تامین Checkmarx افزود که ماهیت حملات زنجیره تامین، دامنه و تاثیر حملات سایبری را افزایش می‌دهد.

او به TechNewsWorld گفت: «سوء استفاده از اکوسیستم منبع باز راهی آسان برای مهاجمان برای افزایش اثربخشی حملات خود است. ما معتقدیم این شروع روندی است که در ماه های آینده افزایش خواهد یافت.

تبلیغات

یک پلت فرم فیشینگ به عنوان یک سرویس نیز می تواند اثربخشی مهاجم را افزایش دهد. Gene Yoo مدیر عامل Resecurity می گوید: «از آنجایی که PhaaS می تواند کارها را در مقیاس انجام دهد، به دشمنان این امکان را می دهد که در سرقت و جعل هویت کارآمدتر باشند.

او به TechNewsWorld گفت: «کمپین‌های فیشینگ قدیمی به پول و منابع نیاز دارند، که می‌تواند برای یک نفر سنگین باشد. “PhaaS سریعتر، سریعتر، بهتر است.”

او افزود: “این چیزی است که بسیار منحصر به فرد است.” “تولید یک سرویس فیشینگ در این مقیاس بسیار نادر است.”

بسته بندی زیبا

سرویس فیشینگ EvilProxy
سرویس فیشینگ EvilProxy

Alon Nachmany، مسئول CISO در AppViewX، یک شرکت مدیریت چرخه عمر گواهی و اتوماسیون شبکه، در شهر نیویورک، توضیح داد که بسیاری از خدمات غیرقانونی، هک و راه‌حل‌های هدف مخرب محصولات هستند.

او به TechNewsWorld گفت: «با استفاده از راه‌حل‌های PhaaS، بازیگران مخرب سربار کمتری دارند و امکان راه‌اندازی کمتری برای شروع یک حمله دارند.

او ادامه داد: «راستش، من متعجبم که این مدت طول کشید تا تبدیل به یک چیز شود. بازارهای زیادی وجود دارد که می توانید نرم افزار باج افزار را خریداری کرده و آن را به کیف پول خود پیوند دهید. پس از استقرار، می توانید باج جمع آوری کنید. تنها تفاوت اینجا این است که به طور کامل برای مهاجم میزبانی می شود.

مونیا دنگ، مدیر بازاریابی محصول در Bolster، ارائه‌دهنده حفاظت خودکار در معرض خطر دیجیتال، در لوس آلتوس، کالیفرنیا، اضافه کرد: در حالی که فیشینگ در دنیای هک کردن اغلب به عنوان یک فعالیت کم تلاش در نظر گرفته می‌شود، اما همچنان نیازمند کمی کار است. او توضیح داد که برای انجام کارهایی مانند راه اندازی یک سایت فیشینگ، ایجاد یک ایمیل، ایجاد یک مدیر خودکار، و امروزه، سرقت اعتبار 2FA در بالای اعتبارنامه های اولیه.

او ادامه داد: «با PhaaS، همه چیز به صورت اشتراکی برای مجرمانی که نیازی به تجربه هک یا حتی مهندسی اجتماعی ندارند، به خوبی بسته بندی شده است. این زمینه را برای بسیاری از بازیگران تهدید کننده که به دنبال بهره برداری از سازمان ها برای منافع خود هستند، باز می کند.”

بازیگران بد، نرم افزار عالی

محققان Resecurity توضیح دادند که پرداخت برای EvilProxy به صورت دستی از طریق اپراتور در تلگرام سازماندهی شده است. پس از دریافت وجوه برای اشتراک، آنها به حساب کاربری در پورتال مشتری میزبانی شده در TOR واریز می شوند. این کیت با قیمت 400 دلار در ماه موجود است.

پورتال EvilProxy شامل چندین آموزش و ویدیوهای تعاملی در مورد استفاده از سرویس و نکات پیکربندی است. محققان نوشتند: «صادقانه بگوییم، بازیگران بد از نظر قابلیت استفاده از سرویس، و پیکربندی کمپین‌های جدید، جریان ترافیک و جمع‌آوری داده‌ها کار بزرگی انجام دادند.»

تبلیغات

سرویس فیشینگ EvilProxy
سرویس فیشینگ EvilProxy

جورج گرچو، CSO و معاون ارشد فناوری اطلاعات در Sumo Logic، یک شرکت تحلیلی که بر امنیت، عملیات و اطلاعات تجاری تمرکز دارد، در Redwood City، کالیفرنیا، مشاهده کرد: “این حمله فقط بلوغ جامعه بازیگران بد را نشان می دهد.”

او به TechNewsWorld گفت: “آنها این کیت ها را با مستندات و فیلم های دقیق بسته بندی می کنند تا کار را آسان کنند.”

محققان خاطرنشان کردند که این سرویس از اصل “پروکسی معکوس” استفاده می کند. این کار به این صورت است: بازیگران بد قربانیان را به یک صفحه فیشینگ هدایت می‌کنند، از پروکسی معکوس برای واکشی تمام محتوای قانونی که کاربر انتظار دارد ببیند استفاده می‌کند، و هنگام عبور از پروکسی، ترافیک آنها را استشمام می‌کند.

هدر ایانوچی، تحلیلگر CTI در Tanium، سازنده یک پلتفرم مدیریت نقطه پایانی و امنیت، در کرکلند، واش، گفت: «این حمله نشان می‌دهد که موانع ورود برای بازیگران ساده چقدر کم است.

او به TechNewsWorld گفت: «با EvilProxy، یک سرور پراکسی بین سرور پلتفرم قانونی و صفحه فیشینگ قرار می‌گیرد که کوکی جلسه قربانی را می‌دزدد. “سپس عامل تهدید می تواند از این برای ورود به سایت قانونی به عنوان کاربر بدون MFA استفاده کند.”

یو افزود: “دفاع در برابر EvilProxy یک چالش است زیرا فریب قربانی و دور زدن MFA را ترکیب می کند.” «سازش واقعی برای قربانی نامرئی است. همه چیز خوب به نظر می رسد، اما اینطور نیست.»

هنوز موثر است

Nachmany هشدار داد که کاربران باید در مورد اثربخشی MFA که از پیام های متنی یا نشانه های برنامه استفاده می کند نگران باشند. او گفت: “Phaas برای استفاده از آنها طراحی شده است و این روندی است که در بازار ما رشد خواهد کرد.”

وی افزود: “استفاده از گواهینامه ها به عنوان یک عامل اضافی یکی از مواردی است که من پیش بینی می کنم به زودی استفاده از آن افزایش یابد.”

پاتریک هار، مدیر عامل SlashNext، یک شرکت امنیت شبکه در Pleasanton، کالیفرنیا، اظهار داشت: در حالی که کاربران باید هنگام استفاده از MFA مراقب باشند، اما همچنان یک کاهش موثر در برابر فیشینگ است.

او گفت: «این کار دشواری استفاده از اعتبارنامه‌های به خطر افتاده برای نقض یک سازمان را افزایش می‌دهد، اما بی‌خطا نیست». اگر پیوندی کاربر را به یک کپی جعلی از یک سایت قانونی هدایت کند – سایتی که تشخیص آن تقریبا غیرممکن است – آنگاه کاربر می تواند قربانی یک حمله دشمن در وسط شود، مانند آنچه توسط EvilProxy استفاده می شود. “



دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *