Kit de phishing EvilProxy

Les chercheurs d'Infosec ont remarqué une tendance alarmante des acteurs liés à la fraude à utiliser progressivement une boîte à outils Phishing-as-a-Service (PhaaS) nommée EvilProxy. Le malware est déployé comme un moyen d'orchestrer des attaques de prise de contrôle de compte avec un accent particulier sur les dirigeants d'organisations de premier plan.

Une telle campagne d'attaque a été observée en utilisant une stratégie hybride qui capitalise sur les fonctionnalités de la boîte à outils EvilProxy. L'objectif est de cibler un nombre important de comptes d'utilisateurs Microsoft 365, aboutissant à la distribution d'environ 120 000 e-mails de phishing dans une multitude d'organisations dans le monde entre mars et juin 2023.

De manière significative, parmi les nombreux utilisateurs compromis, près de 39 % sont identifiés comme des cadres de niveau C. Cela comprend les PDG représentant 9% et les directeurs financiers représentant 17%. Ces attaques se concentrent également sur le personnel qui a accès à des ressources financières sensibles ou à des informations critiques. Fait impressionnant, pas moins de 35 % de tous les utilisateurs compromis avaient opté pour des couches supplémentaires de sécurité de compte.

Les experts en cybersécurité indiquent que ces campagnes orchestrées sont une réponse directe à la mise en œuvre accrue de l'authentification multifacteur (MFA) au sein des entreprises. Par conséquent, les acteurs de la menace ont adapté leurs stratégies pour surmonter les nouvelles barrières de sécurité en incorporant des kits de phishing Adversary-in-the-middle (AitM). Ces kits sont conçus pour capturer les informations d'identification, les cookies de session et les mots de passe à usage unique, permettant ainsi aux attaquants de discerner, en temps réel, si un utilisateur hameçonné est d'une grande importance. Cette identification précise permet aux attaquants d'accéder rapidement au compte, en concentrant leurs efforts sur des cibles lucratives tout en ignorant les profils moins précieux.

Les kits de phishing comme EvilProxy permettent aux cybercriminels peu qualifiés de mener des attaques sophistiquées

EvilProxy a été initialement signalé par des chercheurs en septembre 2022 lorsqu'ils ont dévoilé sa capacité à compromettre les comptes d'utilisateurs associés à diverses plates-formes de premier plan, notamment Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo et Yandex, entre autres. Cette boîte à outils est commercialisée sous forme de service d'abonnement, disponible à un tarif de base de 400 $ par mois. Cependant, le coût peut atteindre 600 $ pour le ciblage des comptes Google, reflétant la valeur plus élevée associée à ces informations d'identification.

Les boîtes à outils Phishing-as-a-Service (PhaaS) représentent une évolution notable dans le paysage de la cybercriminalité, réduisant efficacement les barrières à l'entrée pour les criminels moins qualifiés sur le plan technique. Cette évolution permet l'exécution d'attaques de phishing sophistiquées à grande échelle, tout en maintenant une approche transparente et rentable.

La disponibilité de menaces avec des interfaces aussi simples et économiques a entraîné une augmentation significative des activités de phishing par authentification multi-facteurs (MFA) réussies. Cette tendance signifie un changement dans les tactiques employées par les cybercriminels, leur permettant d'exploiter efficacement les vulnérabilités des systèmes MFA et d'amplifier l'ampleur de leurs attaques.

Les acteurs de la menace EvilProxy utilisent des e-mails frauduleux pour attirer des victimes sans méfiance

Les opérations d'attaque enregistrées commencent par la distribution d'e-mails de phishing qui adoptent l'apparence de services de confiance comme Adobe et DocuSign. Cette approche trompeuse vise à inciter les destinataires à interagir avec des URL malveillantes trouvées dans les e-mails. Une fois ces URL cliquées, une séquence de redirection en plusieurs étapes est déclenchée. L'objectif est d'amener la cible vers une page de connexion similaire à Microsoft 365, intelligemment conçue pour imiter le portail authentique. La page de connexion contrefaite agit comme un proxy inverse, capturant discrètement les informations soumises via le formulaire.

Un élément notable de cette campagne est son exclusion délibérée du trafic utilisateur provenant d'adresses IP turques. Ce trafic particulier est redirigé vers des sites Web légitimes, laissant entrevoir la possibilité que les orchestrateurs de campagne soient originaires de ce pays.

Une fois qu'une prise de contrôle de compte est réussie, les acteurs de la menace s'installent solidement dans l'environnement cloud de l'organisation. Ceci est accompli en introduisant leur propre méthode d'authentification multifacteur (MFA), telle qu'une application d'authentification à deux facteurs. Cette décision stratégique garantit que les acteurs de la menace peuvent maintenir un accès à distance cohérent, facilitant les déplacements latéraux au sein du système et la prolifération de logiciels malveillants supplémentaires.

L'accès acquis est ensuite exploité à des fins de monétisation. Les auteurs de menaces peuvent choisir de se livrer à une fraude financière, d'exfiltrer des données confidentielles ou même de vendre des comptes d'utilisateurs compromis à d'autres entités malveillantes. Dans le paysage dynamique actuel des menaces, les menaces par proxy inverse, spécifiquement illustrées par EvilProxy, sont une menace extrêmement puissante, dépassant les capacités des kits de phishing moins sophistiqués utilisés dans le passé. Notamment, même l'authentification multifacteur (MFA) n'est pas à l'abri de ces menaces avancées basées sur le cloud.