سرویس فیشینگ EvilProxy حفاظت از حساب‌های وزارت خارجه را تهدید می‌کند


بر اساس وبلاگی که روز دوشنبه توسط یک شرکت امنیتی نقطه پایانی منتشر شد، یک پیشنهاد جدید فیشینگ به عنوان یک سرویس در وب تاریک تهدیدی برای حساب‌های آنلاین محافظت شده با احراز هویت چند عاملی است.

این سرویس که EvilProxy نام دارد به عوامل تهدید اجازه می دهد تا کمپین های فیشینگ را با قابلیت دور زدن MFA در مقیاس بدون نیاز به هک سرویس های بالادستی راه اندازی کنند. امنیت محققان در وبلاگ اشاره کردند.

این سرویس از روش‌های مورد علاقه APT و گروه‌های جاسوسی سایبری برای به خطر انداختن حساب‌های محافظت شده توسط وزارت امور خارجه استفاده می‌کند. به گفته محققان، چنین حملاتی علیه مشتریان گوگل و مایکروسافت که MFA را در حساب های خود فعال کرده اند، از طریق پیامک متنی یا توکن برنامه کشف شده است.

پیوندهای فیشینگ تولید شده توسط EvilProxy به صفحات وب شبیه سازی شده منجر می شود که برای به خطر انداختن حساب های مرتبط با تعدادی از سرویس ها از جمله Apple iCloud، Facebook، GoDaddy، GitHub، Dropbox، Instagram، NPM، PyPI، RubyGems، Twitter، Yahoo و Yandex ساخته شده اند.

محققان نوشتند که به احتمال زیاد عوامل تهدید کننده ای که از EvilProxy استفاده می کنند، هدف قرار دادن توسعه دهندگان نرم افزار و مهندسان فناوری اطلاعات برای دسترسی به مخازن آنها با هدف نهایی هک کردن اهداف “پایین دستی” هستند.

آنها توضیح دادند که این تاکتیک‌ها به مجرمان سایبری اجازه می‌دهد تا از کاربران نهایی که تصور می‌کنند بسته‌های نرم‌افزاری را از منابع امن دانلود می‌کنند و انتظار به خطر انداختن آنها را ندارند، سرمایه‌گذاری کنند.

سریعتر، سریعتر، بهتر

آویاد گرشون، رهبر تیم تحقیقاتی امنیتی در گفت: «این حادثه تهدیدی برای زنجیره‌های تأمین نرم‌افزار است، زیرا توسعه‌دهندگان را هدف قرار می‌دهد و به مشتریان مجرم سایبری سرویس این امکان را می‌دهد تا کمپین‌هایی را علیه GitHub، PyPI و NPM راه اندازی کنند.» چکمارکس، یک شرکت امنیتی برنامه، در تل آویو، اسرائیل.

او به TechNewsWorld گفت: «فقط دو هفته پیش، اولین حمله فیشینگ علیه مشارکت کنندگان PyPI را دیدیم، و اکنون می بینیم که این سرویس با در دسترس قرار دادن این کمپین ها برای اپراتورهای فنی کمتر و با افزودن این قابلیت، آن را چند قدم جلوتر می برد. برای دور زدن وزارت خارجه.»

Tzachi Zorenstain، رئیس امنیت زنجیره تامین Checkmarx افزود که ماهیت حملات زنجیره تامین، دامنه و تاثیر حملات سایبری را افزایش می‌دهد.

او به TechNewsWorld گفت: «سوء استفاده از اکوسیستم منبع باز راهی آسان برای مهاجمان برای افزایش اثربخشی حملات خود است. ما معتقدیم این شروع روندی است که در ماه های آینده افزایش خواهد یافت.

یک پلت فرم فیشینگ به عنوان یک سرویس نیز می تواند اثربخشی مهاجم را افزایش دهد. Gene Yoo مدیر عامل Resecurity می گوید: «از آنجایی که PhaaS می تواند کارها را در مقیاس انجام دهد، به دشمنان این امکان را می دهد که در سرقت و جعل هویت کارآمدتر باشند.

او به TechNewsWorld گفت: «کمپین‌های فیشینگ قدیمی به پول و منابع نیاز دارند، که می‌تواند برای یک نفر سنگین باشد. “PhaaS سریعتر، سریعتر، بهتر است.”

او افزود: “این چیزی است که بسیار منحصر به فرد است.” “تولید یک سرویس فیشینگ در این مقیاس بسیار نادر است.”

به خوبی بسته بندی شده است

Alon Nachmany، میدان CISO در AppViewXیک شرکت مدیریت چرخه عمر گواهی و اتوماسیون شبکه، در شهر نیویورک، توضیح داد که بسیاری از خدمات غیرقانونی، هک و راه حل های قصد مخرب محصولات هستند.

او به TechNewsWorld گفت: «با استفاده از راه‌حل‌های PhaaS، بازیگران مخرب سربار کمتری دارند و امکان راه‌اندازی کمتری برای شروع یک حمله دارند.

او ادامه داد: «راستش، من متعجبم که این مدت طول کشید تا تبدیل به یک چیز شود. بازارهای زیادی وجود دارد که می توانید نرم افزار باج افزار را خریداری کرده و آن را به کیف پول خود پیوند دهید. پس از استقرار، می توانید باج جمع آوری کنید. تنها تفاوت اینجا این است که به طور کامل برای مهاجم میزبانی می شود.

مونیا دنگ، مدیر بازاریابی محصول در افزود: در حالی که فیشینگ اغلب به عنوان یک فعالیت کم تلاش در دنیای هک در نظر گرفته می شود، اما هنوز هم نیاز به کمی کار دارد. تقویت کردن، ارائه‌دهنده حفاظت دیجیتالی خودکار در معرض خطر، در لس آلتوس، کالیفرنیا. شما باید کارهایی مانند ایجاد یک سایت فیشینگ، ایجاد یک ایمیل، ایجاد یک مدیر خودکار، و امروزه، سرقت اعتبارنامه‌های 2FA در بالای اعتبارنامه‌های اولیه را انجام دهید. ، او توضیح داد.

او ادامه داد: «با PhaaS، همه چیز به صورت اشتراکی برای مجرمانی که نیازی به تجربه هک یا حتی مهندسی اجتماعی ندارند، به خوبی بسته بندی شده است. این زمینه را برای بسیاری از بازیگران تهدید کننده که به دنبال بهره برداری از سازمان ها برای منافع خود هستند، باز می کند.”

بازیگران بد، نرم افزار عالی

محققان Resecurity توضیح دادند که پرداخت برای EvilProxy به صورت دستی از طریق اپراتور در تلگرام سازماندهی شده است. پس از دریافت وجوه برای اشتراک، آنها به حساب کاربری در پورتال مشتری میزبانی شده در TOR واریز می شوند. این کیت با قیمت 400 دلار در ماه موجود است.

پورتال EvilProxy شامل چندین آموزش و ویدیوهای تعاملی در مورد استفاده از سرویس و نکات پیکربندی است. محققان نوشتند: «صادقانه بگوییم، بازیگران بد از نظر قابلیت استفاده از سرویس، و پیکربندی کمپین‌های جدید، جریان ترافیک و جمع‌آوری داده‌ها کار بزرگی انجام دادند.»

جورج گرچو، CSO و معاون ارشد IT در مشاهده کرد: “این حمله فقط بلوغ جامعه بازیگران بد را نشان می دهد.” سومو منطق، یک شرکت تحلیلی با تمرکز بر امنیت، عملیات و اطلاعات تجاری، در شهر Redwood، کالیفرنیا.

او به TechNewsWorld گفت: “آنها این کیت ها را با مستندات و فیلم های دقیق بسته بندی می کنند تا کار را آسان کنند.”

محققان خاطرنشان کردند که این سرویس از اصل “پروکسی معکوس” استفاده می کند. این کار به این صورت است: بازیگران بد قربانیان را به یک صفحه فیشینگ هدایت می‌کنند، از پروکسی معکوس برای واکشی تمام محتوای قانونی که کاربر انتظار دارد ببیند استفاده می‌کند، و هنگام عبور از پروکسی، ترافیک آنها را استشمام می‌کند.

هدر ایانوچی، تحلیلگر CTI در این باره گفت: «این حمله نشان می‌دهد که چقدر مانع ورود بازیگران غیرمجاز است. تانیوم، سازنده یک پلت فرم مدیریت نقطه پایانی و امنیت، در Kirkland، Wash.

او به TechNewsWorld گفت: «با EvilProxy، یک سرور پراکسی بین سرور پلتفرم قانونی و صفحه فیشینگ قرار می‌گیرد که کوکی جلسه قربانی را می‌دزدد. “سپس عامل تهدید می تواند از این برای ورود به سایت قانونی به عنوان کاربر بدون MFA استفاده کند.”

یو افزود: “دفاع در برابر EvilProxy یک چالش است زیرا فریب قربانی و دور زدن MFA را ترکیب می کند.” «سازش واقعی برای قربانی نامرئی است. همه چیز خوب به نظر می رسد، اما اینطور نیست.»

هنوز موثر است

Nachmany هشدار داد که کاربران باید در مورد اثربخشی MFA که از پیام های متنی یا نشانه های برنامه استفاده می کند نگران باشند. او گفت: “Phaas برای استفاده از آنها طراحی شده است و این روندی است که در بازار ما رشد خواهد کرد.”

وی افزود: “استفاده از گواهینامه ها به عنوان یک عامل اضافی یکی از مواردی است که من پیش بینی می کنم به زودی استفاده از آن افزایش یابد.”

پاتریک هار، مدیر عامل شرکت اظهار داشت: در حالی که کاربران باید هنگام استفاده از MFA مراقب باشند، اما همچنان یک کاهش موثر در برابر فیشینگ است. SlashNext، یک شرکت امنیت شبکه در Pleasanton، کالیفرنیا.

او گفت: «این کار دشواری استفاده از اعتبارنامه‌های به خطر افتاده برای نقض یک سازمان را افزایش می‌دهد، اما بی‌خطا نیست». اگر پیوندی کاربر را به یک کپی جعلی از یک سایت قانونی هدایت کند – سایتی که تشخیص آن تقریبا غیرممکن است – آنگاه کاربر می تواند قربانی یک حمله دشمن در وسط شود، مانند آنچه توسط EvilProxy استفاده می شود. “


منبع: https://www.technewsworld.com/story/evilproxy-phishing-service-threatens-mfa-protection-of-accounts-177061.html?rss=1