EvilProxy Phishing-Kit

Forscher von Infosec haben einen alarmierenden Trend festgestellt, bei dem betrügerische Akteure zunehmend ein Phishing-as-a-Service (PhaaS)-Toolkit namens EvilProxy nutzen. Die Malware wird eingesetzt, um Angriffe zur Kontoübernahme zu orchestrieren, wobei der Schwerpunkt insbesondere auf Führungskräften bekannter Organisationen liegt.

Es wurde beobachtet, dass eine solche Angriffskampagne eine Hybridstrategie nutzte, die sich die Funktionalitäten des EvilProxy-Toolkits zunutze machte. Das Ziel besteht darin, eine beträchtliche Anzahl von Microsoft 365-Benutzerkonten anzugreifen, was in der Verteilung von etwa 120.000 Phishing-E-Mails an eine Vielzahl von Organisationen weltweit im Zeitraum März bis Juni 2023 gipfelt.

Bezeichnenderweise werden fast 39 % der zahlreichen kompromittierten Benutzer als Führungskräfte auf C-Ebene identifiziert. Davon entfallen 9 % auf CEOs und 17 % auf CFOs. Diese Angriffe konzentrieren sich auch auf Mitarbeiter, die Zugang zu sensiblen Finanzressourcen oder kritischen Informationen haben. Beeindruckend war, dass sich nicht weniger als 35 % aller kompromittierten Benutzer für zusätzliche Ebenen der Kontosicherheit entschieden hatten.

Cybersicherheitsexperten weisen darauf hin, dass diese orchestrierten Kampagnen eine direkte Reaktion auf die zunehmende Implementierung der Multi-Faktor-Authentifizierung (MFA) in Unternehmen sind. Folglich haben Bedrohungsakteure ihre Strategien angepasst, um die neuen Sicherheitsbarrieren zu überwinden, indem sie Adversary-in-the-Middle-Phishing-Kits (AitM) integrieren. Diese Kits sind darauf ausgelegt, Anmeldeinformationen, Sitzungscookies und Einmalkennwörter zu erfassen und es den Angreifern so zu ermöglichen, in Echtzeit zu erkennen, ob ein Phishing-Benutzer von hoher Bedeutung ist. Diese präzise Identifizierung ermöglicht es den Angreifern, sich schnell Zugriff auf das Konto zu verschaffen und ihre Bemühungen auf lukrative Ziele zu konzentrieren, während weniger wertvolle Profile außer Acht gelassen werden.

Phishing-Kits wie EvilProxy ermöglichen weniger erfahrenen Cyberkriminellen die Durchführung komplexer Angriffe

EvilProxy wurde erstmals im September 2022 von Forschern gemeldet, als sie seine Fähigkeit enthüllten, Benutzerkonten zu kompromittieren, die mit verschiedenen bekannten Plattformen verbunden sind, darunter Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Unter anderem Yahoo und Yandex. Dieses Toolkit wird als Abonnementdienst vermarktet und ist zu einem Grundpreis von 400 US-Dollar pro Monat erhältlich. Allerdings können die Kosten für die Ausrichtung auf Google-Konten auf bis zu 600 US-Dollar ansteigen, was den höheren Wert dieser Anmeldeinformationen widerspiegelt.

Phishing-as-a-Service (PhaaS)-Toolkits stellen eine bemerkenswerte Weiterentwicklung in der Cyberkriminalitätslandschaft dar und verringern effektiv die Eintrittsbarrieren für technisch weniger versierte Kriminelle. Diese Entwicklung ermöglicht die Ausführung anspruchsvoller Phishing-Angriffe in großem Umfang und sorgt gleichzeitig für einen nahtlosen und kosteneffizienten Ansatz.

Die Verfügbarkeit von Bedrohungen mit solch unkomplizierten und budgetfreundlichen Schnittstellen hat zu einem deutlichen Anstieg erfolgreicher Phishing-Aktivitäten mit Multi-Faktor-Authentifizierung (MFA) geführt. Dieser Trend bedeutet einen Wandel in den Taktiken von Cyberkriminellen, der es ihnen ermöglicht, die Schwachstellen von MFA-Systemen effizient auszunutzen und das Ausmaß ihrer Angriffe zu verstärken.

EvilProxy-Bedrohungsakteure nutzen betrügerische E-Mails, um ahnungslose Opfer anzulocken

Die aufgezeichneten Angriffsvorgänge beginnen mit der Verbreitung von Phishing-E-Mails, die unter dem Deckmantel vertrauenswürdiger Dienste wie Adobe und DocuSign erscheinen. Dieser betrügerische Ansatz zielt darauf ab, Empfänger dazu zu verleiten, mit bösartigen URLs in den E-Mails zu interagieren. Sobald diese URLs angeklickt werden, wird eine mehrstufige Weiterleitungssequenz ausgelöst. Das Ziel besteht darin, das Ziel auf eine Microsoft 365-ähnliche Anmeldeseite zu lenken, die geschickt so gestaltet ist, dass sie das authentische Portal nachahmt. Die gefälschte Anmeldeseite fungiert als Reverse-Proxy und erfasst diskret die über das Formular übermittelten Informationen.

Ein bemerkenswertes Element dieser Kampagne ist der bewusste Ausschluss von Benutzerverkehr, der von türkischen IP-Adressen stammt. Dieser bestimmte Datenverkehr wird auf legitime Websites umgeleitet, was darauf hindeutet, dass die Organisatoren der Kampagne möglicherweise ihren Ursprung in diesem Land haben.

Sobald die Kontoübernahme erfolgreich ist, etablieren die Bedrohungsakteure einen festen Platz in der Cloud-Umgebung des Unternehmens. Dies wird durch die Einführung einer eigenen Multi-Faktor-Authentifizierungsmethode (MFA) erreicht, beispielsweise einer Zwei-Faktor-Authentifikator-App. Dieser strategische Schritt stellt sicher, dass die Bedrohungsakteure einen konsistenten Fernzugriff aufrechterhalten können, was seitliche Bewegungen innerhalb des Systems und die Verbreitung zusätzlicher Malware erleichtert.

Der erworbene Zugang wird dann zu Monetarisierungszwecken genutzt. Bedrohungsakteure können sich für Finanzbetrug entscheiden, vertrauliche Daten herausfiltern oder sogar kompromittierte Benutzerkonten an andere böswillige Unternehmen verkaufen. In der aktuellen dynamischen Bedrohungslandschaft stellen Reverse-Proxy-Bedrohungen – insbesondere EvilProxy am Beispiel – eine überaus starke Bedrohung dar, die die Fähigkeiten der in der Vergangenheit eingesetzten, weniger ausgefeilten Phishing-Kits übersteigt. Bemerkenswert ist, dass selbst die Multi-Faktor-Authentifizierung (MFA) nicht immun gegen diese fortschrittlichen cloudbasierten Bedrohungen ist.