La società di sicurezza informatica californiana Resecurity ha recentemente identificato un nuovo PhaaS (Phishing-as-a-Service) pubblicizzato in varie comunità underground con il nome di EvilProxy.
Tale servizio consentirebbe agli attori delle minacce di attaccare, su larga scala, gli utenti che hanno abilitato l’autenticazione a più fattori sui loro account sia con SMS che con token di applicazione, utilizzando i metodi Reverse Proxy e Cookie Injection per aggirarne l’autenticazione.
Le prime evidenze su EvilProxy, rilevate all’inizio di maggio 2022, avrebbero dimostrato come il servizio potrebbe essere utilizzato per compromettere account Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex, PyPi, GitHub e npmjs con attacchi di spear phishing e BEC (Business Email Compromise).
La società di sicurezza, grazie alle indagini condotte, è stata in grado di ottenere una conoscenza approfondita della piattaforma EvilProxy, studiandone struttura, moduli, funzioni e infrastruttura di rete.
Indice degli argomenti
I piani di abbonamento al kit di phishing EvilProxy
Secondo quanto riportato sul rapporto Resecurity, il kit EvilProxy, pubblicizzato su vari forum di hacking (XSS, Exploit e Breached), sarebbe offerto in abbonamento per 400 dollari al mese tramite un canale di pagamento Telegram.
Una volta effettuato il deposito, il cliente (attore malevolo) accederebbe al portale ospitato nella rete TOR supportato da tutorial, video interattivi e suggerimenti per la configurazione, tramite una interfaccia GUI facile da usare per impostare e gestire campagne di phishing efficaci.
Così EvilProxy usa i Reverse Proxy
Come detto, EvilProxy utilizza i Reverse Proxy (server che si trovano tra la vittima presa di mira e un endpoint di autenticazione legittimo), per raccogliere cookie di sessione validi e bypassare la l’autenticazione con nomi utente, password e token 2FA.
Secondo un processo definito in otto fasi, gli attaccanti possono così guidare le vittime verso una pagina di phishing ed utilizza il reverse proxy per recuperare tutte le informazioni di accesso necessarie.
Quando la vittima si connette alla pagina di phishing, il reverse proxy posto in mezzo visualizza il modulo di accesso legittimo, inoltra le richieste e intercetta le risposte dal sito Web legittimo.
Il proxy malevolo può così rubare i cookie di sessione i relativi token di autenticazione, consentendo agli attaccanti di accedere al sito al posto dell’utente vittima, ignorando le protezioni di autenticazione a più fattori configurate.
L’indagine dei ricercatori di sicurezza ha inoltre confermato che il kit EvilProxy offre anche vari livelli di protezione per scremare i visitatori indesiderati sui siti di phishing ospitati dalla piattaforma (protezione da VM, anti-analisi e anti-bot).
Possibili mitigazioni
La piattaforma EvilProxy, grazie alla facile implementazione, mette alla portata di tutti (anche degli attori delle minacce meno esperti) una ulteriore soluzione economica e scalabile per eseguire attacchi di phishing avanzati e compromettere gli account dei più diffusi servizi online.
Pertanto il team HUNTER di Resecurity ha messo a disposizione gli IoC insieme ad altre informazioni per aiutare i ricercatori di sicurezza informatica, durante le loro indagini, a rilevare possibili attività malevole e attribuirle alla minaccia EvilProxy.
