EvilProxy đang trở thành một trong những nền tảng lừa đảo phổ biến nhắm mục tiêu vào các tài khoản được bảo vệ bởi MFA, các nhà nghiên cứu đã phát hiện 120.000 email lừa đảo được gửi tới hơn một trăm tổ chức để đánh cắp tài khoản Microsoft 365.
Nghiên cứu mới này đến từ Proofpoint, cảnh báo về sự gia tăng mạnh mẽ các vụ chiếm đoạt tài khoản đám mây thành công trong năm tháng qua, chủ yếu ảnh hưởng đến các Giám đốc Điều hành cấp cao.
Công ty an ninh mạng đã quan sát thấy một chiến dịch quy mô rất lớn được hỗ trợ bởi EvilProxy, chiến dịch này kết hợp mạo danh thương hiệu, trốn tránh phát hiện bot và chuyển hướng mở.
EvilProxy tấn công
EvilProxy là một nền tảng lừa đảo dưới dạng dịch vụ sử dụng proxy ngược để chuyển tiếp các yêu cầu xác thực và thông tin đăng nhập của người dùng giữa người dùng (mục tiêu) và trang web dịch vụ hợp pháp.
Vì máy chủ lừa đảo ủy quyền biểu mẫu đăng nhập hợp pháp nên nó có thể đánh cắp cookie xác thực sau khi người dùng đăng nhập vào tài khoản của họ.
Hơn nữa, vì người dùng đã phải vượt qua các thử thách MFA khi đăng nhập vào tài khoản, cookie bị đánh cắp cho phép các tác nhân đe dọa bỏ qua xác thực đa yếu tố.
Luồng tấn công lừa đảo EvilProxy
Nguồn: Proofpoint
Theo báo cáo vào tháng 9 năm 2022 của Resecurity, EvilProxy được bán cho bọn tội phạm mạng với giá 400 đô la/tháng, hứa hẹn khả năng nhắm mục tiêu các tài khoản Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy và PyPI.
Một chiến dịch lừa đảo mới được Proofpoint quan sát kể từ tháng 3 năm 2023 đang sử dụng dịch vụ EvilProxy để gửi email mạo danh các thương hiệu nổi tiếng như Adobe, DocuSign và Concur.
Email lừa đảo được sử dụng trong chiến dịch này
Nguồn: Proofpoint
Nếu nạn nhân nhấp vào liên kết được nhúng, họ sẽ chuyển hướng mở qua YouTube hoặc SlickDeals, sau đó là một loạt các chuyển hướng tiếp theo nhằm giảm cơ hội khám phá và phân tích của họ.
Cuối cùng, nạn nhân truy cập vào một trang lừa đảo EvilProxy, trang này đảo ngược proxy trang đăng nhập Microsoft 365, trang này cũng có chủ đề tổ chức của nạn nhân để có vẻ xác thực.
Giai đoạn tấn công
Nguồn: Proofpoint
Proofpoint giải thích: “Để ẩn email của người dùng khỏi các công cụ quét tự động, những kẻ tấn công đã sử dụng mã hóa đặc biệt cho email của người dùng và sử dụng các trang web hợp pháp đã bị tấn công để tải lên mã PHP của chúng nhằm giải mã địa chỉ email của một người dùng cụ thể”.
“Sau khi giải mã địa chỉ email, người dùng được chuyển tiếp đến trang web cuối cùng – trang lừa đảo thực sự, được thiết kế riêng cho tổ chức của mục tiêu đó.”
Giải mã địa chỉ email của mục tiêu
Nguồn: Proofpoint
Nhắm vào mục tiêu đặc thù
Các nhà nghiên cứu đã phát hiện ra rằng chiến dịch mới nhất chuyển hướng người dùng có địa chỉ IP của Thổ Nhĩ Kỳ đến một trang web hợp pháp, về cơ bản chúng sẽ ngừng cuộc tấn công lại, điều đó có thể có nghĩa là hoạt động này có trụ sở tại Thổ Nhĩ Kỳ.
Ngoài ra, Proofpoint nhận thấy rằng những kẻ tấn công rất chọn lọc những trường hợp sẽ tiến hành giai đoạn tiếp quản tài khoản, ưu tiên các mục tiêu “VIP” và bỏ qua những mục tiêu thấp hơn trong hệ thống phân cấp.
Trong số những người có tài khoản bị xâm phạm, 39% là Giám đốc điều hành cấp C, 9% là CEO và Phó Chủ tịch, 17% là giám đốc tài chính và phần còn lại là nhân viên có quyền truy cập vào tài sản tài chính hoặc thông tin nhạy cảm.
Mục tiêu bị xâm phạm
Nguồn: Proofpoint
Sau khi tài khoản Microsoft 365 bị xâm phạm, các tác nhân đe dọa sẽ thêm phương thức xác thực đa yếu tố của riêng chúng (thông qua Ứng dụng Authenticator có Thông báo và Mã) để thiết lập tính bền vững.
Bộ công cụ lừa đảo proxy ngược và đặc biệt là EvilProxy, là mối đe dọa ngày càng tăng có khả năng thực hiện hành vi lừa đảo chất lượng cao ở quy mô nguy hiểm trong khi bỏ qua các biện pháp bảo mật và bảo vệ tài khoản.
Các tổ chức chỉ có thể chống lại mối đe dọa này thông qua nhận thức bảo mật cao hơn, quy tắc lọc email chặt chẽ hơn và áp dụng các khóa vật lý dựa trên FIDO.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/chien-dich-lua-dao-evilproxy-nham-muc-tieu-120-000-nguoi-dung-microsoft-365
