Suite au récent piratage de Twilio qui a entraîné la fuite de codes 2FA (OTP), les cybercriminels continuent d’améliorer leur boîte à outils d’attaque pour orchestrer des campagnes de phishing sophistiquées ciblant les utilisateurs du monde entier. Resecurity a récemment identifié un nouveau Phishing-as-a-Service (PhaaS) appelé EvilProxy promu sur le Dark Web. Sur certaines sources, le nom alternatif est Moloch, qui a un lien avec un kit de phishing créé par de nombreuses stars underground importantes qui ciblaient les banques et le secteur du commerce électronique avant.
Bien que l’incident avec Twilio soit entièrement associés à la chaîne d’approvisionnement, les risques de cybersécurité provoquent évidemment des attaques contre des cibles en aval, le service souterrain produit comme EvilProxy permet aux stars du risque d’agresser les utilisateurs, ce qui a rendu possible l’AMF à grande échelle sans avoir besoin de pirater les services en amont.
Les stars d’EvilProxy utilisent des approches de proxy inverse et d’injection de cookies pour contourner l’authentification 2FA, c’est-à-dire la session de la victime par procuration. Auparavant, de telles approches ont été observées dans des campagnes ciblées d’APT et de groupes de cyberespionnage, mais maintenant ces techniques ont été efficacement produites dans EvilProxy, ce qui souligne l’importance du développement dans les attaques contre les services en ligne et les systèmes d’autorisation MFA.
Sur la base de l’examen en cours entourant le résultat des attaques contre plusieurs travailleurs de l’entreprise Fortune 500, Resecurity a pu obtenir une compréhension significative d’EvilProxy, y compris sa structure, ses modules, ses fonctions et les installations réseau utilisées pour mener des activités destructrices. Les premières occurrences d’EvilProxy ont en fait été identifiées pour la première fois dans le cadre d’attaques contre les clients Google et MSFT qui ont activé l’authentification MFA sur leurs comptes, soit par SMS, soit par jeton d’application.
La première mention d’EvilProxy a été repérée tôt En mai 2022, c’est à ce moment-là que les stars qui le dirigent ont publié une vidéo de démonstration détaillant comment il pourrait être utilisé pour fournir des liens de phishing innovants dans le but de compromettre les comptes des consommateurs appartenant à des marques importantes telles que Apple, Facebook, GoDaddy, GitHub, Google, Dropbox , Instagram, Microsoft, Twitter, Yahoo, Yandex et autres.
Notamment, EvilProxy prend également en charge les attaques de phishing par rapport à Python Package Index (PyPi) :
Le Le principal référentiel d’applications logicielles pour le langage Python (Python Package Index (PyPI)) a été récemment déclaré (la semaine dernière) que les facteurs d’emploi ont subi une attaque de phishing qui a tenté de les tromper en divulguant les informations de connexion de leur compte. L’attaque a exploité JuiceStealer (en tant que dernière charge utile après le compromis initial) et, selon les conclusions de l’équipe HUNTER de Resecurity, associée aux stars d’EvilProxy qui ont ajouté cette fonction peu de temps avant que l’attaque ne soit menée.
En plus de PyPi, la fonctionnalité d’EvilProxy prend également en charge GitHub et npmjs (superviseur de packages JavaScript largement utilisé par plus de 11 millions de développeurs dans le monde) permettant des attaques de la chaîne d’approvisionnement au moyen de campagnes de phishing innovantes. Il est fort probable que les acteurs visent à cibler les développeurs de logiciels et les ingénieurs informatiques pour accéder à leurs référentiels avec un objectif d’achèvement pour pirater des cibles « en aval ». Ces méthodes permettent aux cybercriminels de capitaliser sur l’insécurité des utilisateurs qui supposent qu’ils téléchargent des plans d’application logicielle à partir de ressources sûres et ne s’attendent pas à ce qu’ils soient compromis.
Comment ça marche
EvilProxy utilise le principe du « Reverse Proxy ». Le principe du proxy inverse est simple : les acteurs malveillants dirigent les victimes vers une page de phishing, utilisent le proxy inverse pour apporter tout le contenu authentique que l’utilisateur anticipe consistant en des pages de connexion – il sent leur trafic lorsqu’il passe par le proxy. De cette manière, ils peuvent collecter des cookies de session valides et contourner le besoin de s’authentifier avec des noms d’utilisateur, des mots de passe et/ou des jetons 2FA.
EvilProxy est fourni sur une base d’abonnement, lorsque l’utilisateur final (un cybercriminel) sélectionne un service d’intérêt à cibler (par exemple, Facebook ou Linkedin), l’activation sera d’une durée déterminée (10, 20 ou 31 jours selon la description des stratégies publiée par les stars sur de nombreux Dark forums en ligne). Parmi les stars cruciales, John_Malkovich, agissant en tant qu’administrateur de nouveaux consommateurs vétérinaires. Le service est représenté sur tous les principaux quartiers souterrains comprenant XSS, Exploit et Breached.
Le paiement pour EvilProxy est organisé manuellement via un opérateur sur Telegram. Une fois les fonds de l’abonnement reçus, ils seront déposés sur le compte du site Web du client hébergé dans TOR. L’ensemble est disponible pour 400 $ par mois dans le réseau Dark Webhosting in TOR.
Le site Web d’EvilProxy contient plusieurs tutoriels et vidéos interactives concernant l’utilisation du service et des conseils de configuration. . Pour être franc, les mauvaises étoiles ont fait un travail formidable en ce qui concerne la fonctionnalité du service et la configurabilité de tout nouveaux projets, les flux de trafic et la collecte d’informations.
Après l’activation, l’opérateur sera invité à proposer des qualifications SSH pour plus libérer un conteneur Docker et un ensemble de scripts. Cette technique a en fait également été utilisée dans un autre service Phaas appelé « Frappo » qui a été identifié par Resecurity cette année. L’installateur automatisé a une recommandation à un utilisateur « Olf Dobs » (ksh8h297aydO) sur Gitlab :
apt upgrade -qqy && apt dist-upgrade-- no-install-recommends-- no-install -suggests -o Dpkg:: options:: ="-- force-confdef " -y && apt install-- no-install-recommends-- no-install-suggests -y git && rm -rf/ srv/control-agent && git clone-- recurse-submodules https://gitlab.com/ksh8h297ayd0/docker-control-agent.git/ srv/control-agent && cd/ srv/control-agent && chmod x./ install.sh &&/ srv /control-agent/install. sh' [license_key] ===*=
Après un release effectif, les scripts achemineront le trafic des victimes via 2 entrées spécifiées comme « upstream » :
Sur la base d’une analyse plus approfondie, nous avons reconnu quelques-uns des domaines utilisés pour les projets d’hameçonnage. Les acteurs malveillants signent des domaines similaires (par l’orthographe) avec l’intention de les masquer sous de véritables services en ligne.
Certains des liens produits par EvilProxy pour se faire passer pour les services de messagerie Microsoft sont répertoriés ci-dessous :
URL d’hameçonnage de connexion
https://lmo.msdnmail [] net/common/oauth2/ v2.0/ autorise ?
client_id=4765445b -32c6-49b0-83e6-1d93765276ca&redirect_uri=
https:/ profil openid https%3 A// wwwofc.msdnmail.net
/ v2/OfficeHome.All&response_mode=form_post&nonce=6379755884!.?.! 96970710. Zjg3YzFkMmEtYTUxYy00NDliLWEzYzAtMTExZTliNjBkY2ZkY2U3N zM2MDMtZWNhZC00ZWFmLWE5YjMtYzgzZTFjM2E1ZDdl&ui_locales=en-US&mkt!.?.! =en-US&state=jHi-CP0Nu4oFHIxklcT1adstnCWbwJwuXQWTxNSSsw-23qiXK-!.?.! 6EzyYoAyNZ6rHuHwsIYSkRp99F-bqPqhN4JVCnT4-3MQIDvdTKapKarcqaMFi6 _ xv2 __ 3D0KfqBQ070ykGBGlwxFQ6Mzt9CwUsz2zdgcB4jFux2BhZQwcj-WumSBz 0VQs5VePV-wz00E8rDxEXfQdlv-AT29EwdG77AmGWinyf3yQXSZTHJyo8s-IWS Holy3Kbturwnc87sDC3uwEn6VDIjKbbaJ-c-WOzrg&x-client-SKU=ID_ NETSTANDARD2_0&x-client-ver=6.16.0.0!.?.! URL de post-autorisation https://473126b6-bf9a-4a96-8111-fb04f6631ad8-571c4b21. msdnmail []. net/mail/? monde=[ domaine_victime] & exsvurl=1&ll-cc= 1033&modurl=0&JitExp=1&url=/owa/?realm%3d%26exsvurl!.?.!%3d1%26ll-cc%3d1033%26modurl%3d0%26login_hint%3 [victim_email ]%2540 [victim_domain] Les acteurs malveillants utilisent
plusieurs stratégies et approches pour reconnaître les victimes et pour
protéger le code du kit de phishing contre la découverte. À l'instar des solutions de prévention des escroqueries et de renseignement sur les cyberrisques (CTI), ils regroupent des informations sur les services VPN reconnus, les proxys, les nœuds de sortie TOR et d'autres hôtes qui peuvent être utilisés pour l'analyse de la réputation IP (des victimes potentielles)
. Dans le cas où ils présument un bot ou un scientifique, ils abandonnent la connexion ou la redirigent vers un hôte spécifique (
par exemple, 'brave.com'). Une autre méthode qui a effectivement été déterminée est basée sur les empreintes digitales. Les mauvais acteurs sont particulièrement persistants lorsqu'il s'agit de découvrir d'éventuelles machines virtuelles, généralement utilisées par les experts en sécurité pour étudier le matériel destructeur et les clients se connectant via RDP (Remote Desktop Protocol) : Importance Alors que la vente d'EvilProxy doit être vérifiée, les cybercriminels disposent désormais d'un et une solution évolutive pour effectuer des attaques de phishing innovantes afin de mettre en danger les consommateurs de services en ligne populaires avec
MFA autorisé. L'apparence de ces services dans le Dark Web entraînera une
augmentation considérable de l'activité ATO/BEC et des cyberattaques ciblant l'identité des utilisateurs finaux, où la MFA pourrait être facilement contournée à l'aide d'outils comme EvilProxy. L'équipe HUNTER d'IOC Resecurity a rassemblé les noms de domaine et URL suivants connectés aux installations d'EvilProxy. Certains de ces hôtes ont été cartographiés à la suite d'un engagement de réponse post-incident avec les victimes touchées par les entreprises Fortune 500 et les clients des services en ligne populaires. Alors que les opérations des mauvaises étoiles sont très dynamiques, les détails sur ces hôtes peuvent aider les scientifiques de la cybersécurité et les intervenants en cas d'événements à repérer et à attribuer d'éventuelles activités malveillantes à EvilProxy lors de l'examen des incidents ayant un impact sur la MFA (2FA). 147 [] 78 [] 47 [
.] 250 185 [] 158 [] 251 [] 169 194 [] 76 [] 226 [] 166 msdnmail [] net evilproxy [] professionnel top-cyber [] club rproxy [ ] connexion io-live. rproxy [] io gw1.usd0182738s80 [] clic : 9000 gw2.usd0182738s80 [] clic : 9000 cpanel.evilproxy [] professionnel cpanel.pua75npooc4ekrkkppdglaleftn 5mi2hxsunz5uuup6uxqmen4deepyd [] oignon.
Toute l'actualité en temps réel, est sur L'Entrepreneur
