Raporty sugerują, że nowe narzędzie hakerskie może rzekomo ominąć wszystkie zabezpieczenia wprowadzone w celu zapobiegania cyberatakom i uzyskania dostępu do niektórych z najpopularniejszych stron internetowych na świecie.
Operator stojący za narzędziem EvilProxy twierdzi, że jest w stanie ukraść tokeny uwierzytelniające potrzebne do ominięcia systemów uwierzytelniania wieloskładnikowego (MFA) używanych przez Apple, Google, Facebook, Microsoft i Twitter.
Usługa jest szczególnie niepokojąca, ponieważ obiecuje udostępnić te ataki wszystkim hakerom, nawet tym, którzy nie mają dokładnych umiejętności lub wiedzy, aby zaatakować tak ważne cele.
zagrożenie phishingiem
Narzędzie zostało wykryte przez firmę ochroniarską Resecurity (otwiera się w nowej karcie), która zauważa, że EvilProxy (znany również jako Moloch) to platforma phishingowa jako usługa (PaaS) do odwrócenia proxy reklamowanego w ciemnej sieci.
Oferuje kradzież nazw użytkowników, haseł i sesyjnych plików cookie za 150 euro za dziesięć dni, 250 euro za 20 dni lub 400 euro za miesięczną kampanię – chociaż ataki na ataki Google będą kosztować więcej, 250 euro , odpowiednio 450 i 600 euro.
Odwrotne serwery proxy znajdują się zwykle między witryną internetową a jakimś punktem końcowym uwierzytelniania online, takim jak strona logowania. EvilProxy oszukuje swoje ofiary za pomocą przynęt phishingowych, przenosząc je na legalną stronę, na której proszone są o podanie danych logowania i informacji MFA. Dane te są następnie przesyłane do zamierzonej legalnej strony internetowej, łącząc ją, a także generując plik cookie sesji zawierający token uwierzytelniający, który jest wysyłany do ofiary.
Jednak ten plik cookie i token uwierzytelniający mogą zostać skradzione przez odwrotny serwer proxy, który, jak wspomniano, znajduje się między użytkownikiem a legalną witryną. Atakujący mogą następnie użyć tego tokena, aby zalogować się do witryny, udając ofiarę, unikając konieczności ponownego wprowadzania informacji o procesie MFA.
Resecurity zauważa, że oprócz inteligencji samego ataku, który jest łatwiejszy do wdrożenia niż inne ataki typu man-in-the-middle (MITM), to, co również wyróżnia EvilProxy, to jego przyjazne dla użytkownika podejście. Po zakupie klienci otrzymują filmy instruktażowe i samouczki krok po kroku dotyczące korzystania z narzędzia, które ma przejrzysty, otwarty interfejs graficzny, w którym użytkownicy mogą konfigurować i zarządzać kampaniami phishingowymi.
Oferuje również bibliotekę istniejących sklonowanych stron phishingowych dla popularnych serwisów internetowych, do których należą GoDaddy, GitHub, Dropbox, Instagram, Yahoo i Yandex.
„Podczas gdy sprzedaż EvilProxy wymaga weryfikacji, cyberprzestępcy mają teraz opłacalne i skalowalne rozwiązanie do przeprowadzania zaawansowanych ataków phishingowych w celu złamania zabezpieczeń konsumentów popularnych usług online z obsługą MFA” – zauważył Resecurity.
„Pojawienie się takich usług w ciemnej sieci doprowadzi do znacznego wzrostu aktywności ATO/BEC i cyberataków wymierzonych w tożsamość użytkowników końcowych, gdzie MFA można łatwo obejść za pomocą narzędzi takich jak EvilProxy”.
Przez BleepingComputer (Otwiera się w nowej karcie)