Πρόσφατα αποκαλύφθηκε μια εκστρατεία Phishing EvilProxy, που στοχεύει λογαριασμούς Microsoft 365 βασικών στελεχών σε οργανισμούς που εδρεύουν στις ΗΠΑ. Η εκστρατεία αυτή κάνει κατάχρηση των ανοιχτών ανακατευθύνσεων από τον ιστότοπο Indeed.com για καταχωρίσεις θέσεων εργασίας.

Δείτε επίσης: EvilProxy: Επιτρέπει σε όλους τους χάκερ να χρησιμοποιούν προηγμένες τακτικές phishing

Ο απειλητικός παράγοντας χρησιμοποιεί την υπηρεσία phishing EvilProxy για τη συλλογή των cookies κατά τη διάρκεια της λειτουργίας τους. Αυτά τα cookies μπορούν να χρησιμοποιηθούν για να παρακαμφθούν μηχανισμοί ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA). Οι ερευνητές της Menlo Security αναφέρουν ότι η εκστρατεία phishing απευθύνεται σε στελέχη και υψηλόβαθμους υπαλλήλους από διάφορους κλάδους, συμπεριλαμβανομένων της ηλεκτρονικής κατασκευής, των τραπεζών και των οικονομικών, των ακινήτων, των ασφαλίσεων και της διαχείρισης ακινήτων.

Οι ανακατευθύνσεις είναι νομικές διευθύνσεις URL που αυτόματα κατευθύνουν τους επισκέπτες σε άλλη τοποθεσία στο διαδίκτυο, συνήθως σε ιστότοπο τρίτου προμηθευτή. Οι αδυναμίες στον κώδικα του ιστότοπου που είναι γνωστές ως ανοιχτές ανακατευθύνσεις, επιτρέπουν τη δημιουργία ανακατευθύνσεων σε αυθαίρετες τοποθεσίες. Οι κακόβουλοι φορείς εκμεταλλεύονται αυτήν την ευκαιρία για να κατευθύνουν τους χρήστες σε σελίδες phishing.

Δεδομένου ότι ο σύνδεσμος προέρχεται από αξιόπιστη πηγή, μπορεί να παρακάμψει τα μέτρα ασφαλείας των email ή να προωθηθεί στα αποτελέσματα αναζήτησης χωρίς να προκαλεί υποψίες.

Στην καμπάνια που ανακάλυψε το Menlo Security, οι παράγοντες απειλών εκμεταλλεύονται μια ανοιχτή ανακατεύθυνση προς το indeed.com, τον αμερικανικό ιστότοπο για τη δημοσίευση θέσεων εργασίας. Οι στόχοι λαμβάνουν ηλεκτρονικά μηνύματα με έναν σύνδεσμο indeed.com που φαίνεται να είναι νόμιμος. Αφού αποκτήσετε πρόσβαση, η διεύθυνση URL θα σας κατευθύνει σε έναν ιστότοπο ηλεκτρονικού ψαρέματος, ο οποίος λειτουργεί ως αντίστροφος διακομιστής για τη σελίδα σύνδεσης της Microsoft.

Το EvilProxy είναι μια υπηρεσία ηλεκτρονικού “ψαρέματος” που λειτουργεί ως πλατφόρμα, χρησιμοποιώντας αντίστροφους διακομιστές μεσολάβησης. Η κύρια λειτουργία της είναι να διευκολύνει την επικοινωνία και τη μετάδοση πληροφοριών χρήστη μεταξύ του στόχου και της αυθεντικής διαδικτυακής υπηρεσίας. Στη συγκεκριμένη περίπτωση, αναφερόμαστε στη Microsoft.

Δείτε ακόμα: Η Apple δεν ενημερώνει ένα email app με τεχνολογία ChatGPT λόγω ανησυχιών για την ασφάλεια

Όταν ο χρήστης αποκτά πρόσβαση στον λογαριασμό του μέσω αυτού του διακομιστή phishing, ο οποίος μιμείται την αυθεντική σελίδα σύνδεσης, ο παράγοντας απειλής μπορεί να καταγράψει τα cookie ελέγχου ταυτότητας. Δεδομένου ότι οι χρήστες έχουν ήδη ολοκληρώσει τα απαιτούμενα βήματα MFA (πολλαπλών παραγόντων ελέγχου ταυτότητας) κατά την σύνδεση, τα cookies που αποκτήθηκαν παρέχουν στους κυβερνοεγκληματίες

πλήρη πρόσβαση στον λογαριασμό του θύματος.

Η Menlo έχει ανακτήσει αρκετά τεχνουργήματα από την επίθεση που κάνουν την απόδοση του EvilProxy πιο σίγουρη, όπως:

  • Φιλοξενία διακομιστή Nginx
  • Συγκεκριμένες διαδρομές URI που είχαν προηγουμένως συνδεθεί με την υπηρεσία
  • Απαίτηση για έλεγχο ταυτότητας διακομιστή μεσολάβησης
  • Παρουσία κώδικα κατάστασης 444 στην απόκριση διακομιστή
  • Παρουσία υπογραφών IDS που έχουν σχεδιαστεί για την αναγνώριση περιεχομένου EvliProxy uri
  • Χρήση της βιβλιοθήκης FingerprintJS για τη λήψη δακτυλικών αποτυπωμάτων στο πρόγραμμα περιήγησης
  • Χρήση συγκεκριμένων αιτημάτων POST που περιέχουν μηνύματα ηλεκτρονικού ταχυδρομείου θυμάτων σε μορφή κωδικοποιημένης βάσης64

Τον Αύγουστο του 2023, η Proofpoint προειδοποίησε για μια άλλη καμπάνια με την ονομασία EvilProxy. Κατά τη διάρκεια αυτής της επίθεσης, περίπου 120.000 μηνύματα ηλεκτρονικού ψαρέματος διανεμήθηκαν σε εκατοντάδες οργανισμούς με στόχο τους λογαριασμούς Microsoft 365 των υπαλλήλων τους.

Δείτε επίσης: Η νέα εγγενής εφαρμογή Mac του WhatsApp είναι τώρα σε open beta

Δυστυχώς, η χρήση ενός αντίστροφου διακομιστή μεσολάβησης για ηλεκτρονικό ψάρεμα αυξάνεται, και η συνδυασμένη χρήση τους με ανοιχτές ανακατευθύνσεις βελτιώνει την επιτυχία μιας καμπάνιας. Οι επιθέσεις phishing με τη χρήση του EvilProxy είναι εξαιρετικά επικίνδυνες, καθώς μπορούν να προκαλέσουν σοβαρές οικονομικές ζημιές και παραβίαση της προσωπικής ζωής των θυμάτων. Είναι σημαντικό να είμαστε προσεκτικοί και να μην ανοίγουμε ύποπτους συνδέσμους ή να εισάγουμε ευαίσθητες πληροφορίες σε μη αξιόπιστες ιστοσελίδες.