Gli attori malevoli stanno sempre più spesso utilizzando un toolkit di phishing come servizio (PhaaS, Phishing as a Service) chiamato EvilProxy per portare avanti attacchi di takeover su account mirati a dirigenti di alto livello presso aziende di spicco.
Secondo Proofpoint, una campagna ibrida in corso ha sfruttato il servizio per prendere di mira migliaia di account utente di Microsoft 365, inviando circa 120.000 email di phishing a centinaia di organizzazioni in tutto il mondo tra marzo e giugno 2023.
Indice degli argomenti
I dati sull’utilizzo di EvilProxy, nel phishing
Quasi il 39% dei centinaia di utenti compromessi sono dirigenti di livello C, tra cui CEO (9%) e CFO (17%). Gli attacchi hanno preso di mira anche il personale con accesso a risorse finanziarie o informazioni sensibili. Almeno il 35% di tutti gli utenti compromessi aveva attivate protezioni aggiuntive per gli account.
Le campagne vengono viste come una risposta all’aumentata adozione dell’autenticazione multifattore (MFA) nelle aziende, che ha spinto gli attori minacciosi a evolvere le loro tattiche per eludere nuovi strati di sicurezza, incorporando kit di phishing avversario-nel-mezzo (AitM) per rubare credenziali, cookie di sessione e password monouso.
“Gli attaccanti utilizzano nuove automazioni avanzate per determinare con precisione in tempo reale se un utente oggetto di phishing è un profilo di alto livello, e ottengono immediatamente accesso all’account, ignorando i profili di minor valore oggetto di phishing”, ha dichiarato l’azienda di sicurezza aziendale che ha redatto lo studio.
EvilProxy è stato documentato per la prima volta da Resecurity nel settembre 2022, descrivendo la sua capacità di compromettere account utente associati ad Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo e Yandex, tra gli altri.
Viene venduto come abbonamento a 400 dollari al mese, una cifra che può salire a $600 per gli account Google. I toolkit PhaaS rappresentano un’evoluzione dell’economia del crimine informatico, abbassando la barriera per i criminali con competenze tecniche inferiori per effettuare attacchi di phishing sofisticati su larga scala in modo coerente ed economico.
“Oggi, tutto ciò di cui un attaccante ha bisogno è impostare una campagna utilizzando un’interfaccia point-and-click con opzioni personalizzabili, come rilevamento dei bot, rilevamento dei proxy e geofencing”, hanno dichiarato i ricercatori di sicurezza. “Questa interfaccia relativamente semplice e a basso costo ha aperto le porte a una grande attività di phishing di MFA di successo”.
Analisi della campagna malevola
L’ultima ondata di attacchi inizia con email di phishing che si mascherano da servizi affidabili come Adobe e DocuSign per ingannare i destinatari a fare clic su URL malevoli che attivano una catena di reindirizzamenti a più stadi per portarli a una pagina di accesso a Microsoft 365 simile, che funziona come proxy inverso per catturare furtivamente le informazioni inserite nel modulo.
Ma in una curiosa evoluzione della campagna, gli attacchi saltano deliberatamente il traffico degli utenti proveniente da indirizzi IP turchi reindirizzandoli a siti web legittimi, indicando che gli operatori della campagna potrebbero trovarsi nel paese. Un takeover di account di successo viene seguito passo dopo passo da parte dell’attore malevolo per “cementare la loro presenza” nell’ambiente cloud dell’organizzazione aggiungendo il proprio metodo MFA, come un’app autenticatore a due fattori, al fine di ottenere accesso remoto persistente e condurre movimenti laterali e proliferazione di malware.
L’accesso viene ulteriormente monetizzato per condurre frodi finanziarie, esfiltrare dati confidenziali o vendere gli account utente compromessi ad altri attaccanti.
“Le minacce dei proxy inversi (e in particolare di EvilProxy) sono una minaccia potente nel panorama dinamico odierno e stanno superando i kit di phishing meno capaci del passato”, hanno affermato i ricercatori, evidenziando che “neanche l’MFA è una soluzione miracolosa contro minacce sofisticate basate su cloud”.
“Sebbene il vettore di minaccia iniziale di questi attacchi sia basato su email, il loro obiettivo finale è compromettere ed sfruttare account utente cloud, risorse e dati preziosi.”
Altre varianti note di EvilProxy
Lo sviluppo arriva mentre Imperva ha rivelato dettagli di una campagna di phishing di origine russa in corso che mira a ingannare potenziali bersagli e rubare le loro informazioni di carte di credito e bancarie almeno dal maggio 2022 tramite link trabocchetto condivisi tramite messaggi WhatsApp.
L’attività coinvolge 800 diversi domini truffa, che ricomprendono oltre 340 aziende in 48 lingue diverse. Questo include banche ben note, servizi postali, servizi di consegna pacchi, social media e siti di e-commerce.
“Sfruttando un’applicazione di singola pagina di alta qualità, gli scammers sono stati in grado di creare dinamicamente un sito convincente che si faceva passare per un sito legittimo, ingannando gli utenti in una falsa sensazione di sicurezza”, ha dichiarato Imperva.
In un’altra variante di attacco di ingegneria sociale identificata da eSentire, attori maligni sono stati osservati contattare professionisti del marketing su LinkedIn nel tentativo di distribuire un malware loader basato su .NET chiamato HawkEyes che, a sua volta, viene utilizzato per lanciare Ducktail, uno strumento di furto di informazioni con particolare attenzione alla raccolta di informazioni sugli account Business di Facebook.
“Il malware Ducktail è noto per prendere di mira gli account Business e Pubblicità di Facebook”, hanno dichiarato i ricercatori di eSentire. “Gli operatori utilizzeranno i dati di accesso rubati per aggiungere indirizzi email agli account Business di Facebook. Quando vengono aggiunte email, viene generato un link di registrazione tramite il quale il threat actor può ottenere accesso a se stesso”.
Questi recenti sviluppi evidenziano come il paesaggio delle minacce informatiche sia in continua evoluzione e come gli attori malintenzionati stiano adattando le loro tattiche per aggirare le nuove misure di sicurezza.
La necessità di una vigilanza costante e di una sicurezza informatica robusta, anche all’interno del management aziendale, rimane fondamentale per affrontare queste sfide sempre più complesse.
Il significativo aumento di questi kit di phishing mette in luce lacune cruciali nelle strategie di difesa delle organizzazioni. Poiché questi attacchi vengono lanciati tramite e-mail, le organizzazioni sono incoraggiate a migliorare la propria sicurezza e-mail e Web per difendersi dalle minacce ibride avanzate.
Articolo originariamente pubblicato il 29 Ago 2023
