Penjahat Dunia Maya Semakin Banyak Menggunakan Kit Phishing EvilProxy untuk Menargetkan Eksekutif
Pelaku ancaman semakin banyak menggunakan perangkat phishing-as-a-service (PhaaS) yang dijuluki EvilProxy untuk melakukan serangan pengambilalihan akun yang ditujukan kepada eksekutif tingkat tinggi di perusahaan-perusahaan terkemuka.
Menurut Proofpoint, kampanye hibrid yang sedang berlangsung telah memanfaatkan layanan ini untuk menargetkan ribuan akun pengguna Microsoft 365, mengirimkan sekitar 120.000 email phishing ke ratusan organisasi di seluruh dunia antara bulan Maret dan Juni 2023.
Hampir 39% dari ratusan pengguna yang disusupi adalah eksekutif tingkat C, termasuk CEO (9%) dan CFO (17%). Serangan tersebut juga menargetkan personel yang memiliki akses terhadap aset keuangan atau informasi sensitif. Setidaknya 35% dari semua pengguna yang disusupi telah mengaktifkan perlindungan akun tambahan.
Kampanye ini dipandang sebagai respons terhadap peningkatan penerapan autentikasi multi-faktor (MFA) di perusahaan, yang mendorong para pelaku ancaman untuk mengembangkan taktik mereka guna menerobos lapisan keamanan baru dengan memasukkan perangkat phishing musuh di tengah (AitM) untuk menyedotnya. kredensial, cookie sesi, dan kata sandi satu kali.
“Penyerang menggunakan otomatisasi canggih baru untuk secara akurat menentukan secara real-time apakah pengguna phishing merupakan profil tingkat tinggi, dan segera mendapatkan akses ke akun tersebut, sambil mengabaikan profil phishing yang kurang menguntungkan,” kata perusahaan keamanan perusahaan tersebut.
EvilProxy pertama kali didokumentasikan oleh Resecurity pada bulan September 2022, merinci kemampuannya untuk menyusupi akun pengguna yang terkait dengan Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, dan Yandex, di antaranya yang lain.
Ini dijual sebagai langganan seharga $400 per bulan, angka yang bisa naik hingga $600 untuk akun Google.
Toolkit PhaaS merupakan evolusi dari ekonomi kejahatan dunia maya, yang menurunkan hambatan bagi penjahat dengan keterampilan teknis rendah untuk melakukan serangan phishing canggih dalam skala besar dengan cara yang lancar dan hemat biaya.
“Saat ini, yang dibutuhkan penyerang hanyalah menyiapkan kampanye menggunakan antarmuka tunjuk-dan-klik dengan opsi yang dapat disesuaikan, seperti deteksi bot, deteksi proxy, dan geofencing,” peneliti keamanan Shachar Gritzman, Moshe Avraham, Tim Kromphardt, Jake Gionet , dan kata Eilon Bendet.
“Antarmuka yang relatif sederhana dan berbiaya rendah ini telah membuka pintu air bagi keberhasilan aktivitas phishing MFA.”
Gelombang serangan terbaru dimulai dengan email phishing yang menyamar sebagai layanan tepercaya seperti Adobe dan DocuSign untuk mengelabui penerima agar mengklik URL berbahaya yang mengaktifkan rantai pengalihan multi-tahap untuk membawa mereka ke halaman login Microsoft 365 yang mirip, yang berfungsi sebagai kebalikannya. proxy untuk diam-diam menangkap informasi yang dimasukkan dalam formulir.
Namun anehnya, serangan tersebut dengan sengaja melewatkan lalu lintas pengguna yang berasal dari alamat IP Turki dengan mengarahkan mereka ke situs web yang sah, yang menunjukkan bahwa operator kampanye mungkin berbasis di luar negeri.
Pengambilalihan akun yang berhasil akan diikuti oleh pelaku ancaman yang mengambil langkah untuk “memperkuat pijakan mereka” di lingkungan cloud organisasi dengan menambahkan metode MFA mereka sendiri, seperti aplikasi autentikator dua faktor, untuk mendapatkan akses jarak jauh yang persisten dan melakukan pergerakan lateral dan proliferasi malware.
Akses tersebut selanjutnya dimonetisasi untuk melakukan penipuan keuangan, mengambil data rahasia, atau menjual akun pengguna yang disusupi kepada penyerang lain.
“Ancaman reverse proxy (dan khususnya EvilProxy) adalah ancaman kuat dalam lanskap dinamis saat ini dan mengalahkan perangkat phish yang kurang mumpuni di masa lalu,” kata para peneliti, sambil menunjukkan bahwa “bahkan MFA bukanlah obat mujarab melawan cloud yang canggih. ancaman berbasis.”
“Meskipun vektor ancaman awal serangan ini berbasis email, tujuan akhirnya adalah untuk mengkompromikan dan mengeksploitasi akun, aset, dan data pengguna cloud yang berharga.”
Perkembangan ini terjadi ketika Imperva mengungkapkan rincian kampanye phishing asal Rusia yang sedang berlangsung yang bertujuan untuk menipu calon target dan mencuri informasi kartu kredit dan bank mereka setidaknya sejak Mei 2022 melalui tautan jebakan yang dibagikan melalui pesan WhatsApp.
Aktivitas ini mencakup 800 domain penipuan yang berbeda, meniru identitas lebih dari 340 perusahaan dalam 48 bahasa. Ini terdiri dari bank ternama, layanan pos, layanan pengiriman paket, media sosial, dan situs e-commerce.
“Dengan memanfaatkan aplikasi satu halaman berkualitas tinggi, para penipu mampu secara dinamis membuat situs web meyakinkan yang menyamar sebagai situs sah, membodohi pengguna agar memberikan rasa aman yang palsu,” kata Imperva.
Dalam variasi lain dari serangan rekayasa sosial yang diidentifikasi oleh eSentire, pelaku jahat terlihat menghubungi profesional pemasaran di LinkedIn dalam upaya untuk mendistribusikan malware pemuat berbasis .NET dengan nama kode HawkEyes yang, pada gilirannya, digunakan untuk meluncurkan Ducktail, sebuah informasi pencuri dengan fokus khusus mengumpulkan informasi akun Facebook Business.
“Ducktail diketahui menargetkan akun Iklan dan Bisnis Facebook,” kata peneliti eSentire. “Operator akan menggunakan data login yang dicuri untuk menambahkan alamat email ke akun Facebook Business. Ketika email ditambahkan, tautan pendaftaran akan dihasilkan sehingga pelaku ancaman dapat memberikan akses kepada dirinya sendiri.”
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
