新的EvilProxy网络钓鱼服务,允许网络罪犯绕过双因素安全
一种新的网络钓鱼即服务(PhaaS)工具包被称为“邪恶代理”(EvilProxy),正在地下犯罪网络上宣传,作为威胁行为体绕过针对在线服务的双因素身份验证(2FA)保护的一种手段。
ReseSecurity研究人员在周一的一份报告中表示:“邪恶代理参与者正在使用反向代理和cookie注入方法绕过2FA身份验证,代理受害者的会话”。
该平台生成的网络钓鱼链接只是克隆页面,旨在危害与苹果iCloud、Facebook、GoDaddy、GitHub、谷歌、Dropbox、Instagram、微软、NPM、PyPI、RubyGems、Twitter、雅虎和Yandex等相关的用户帐户。
EvilProxy类似于中间对手(AiTM)攻击,因为用户与恶意代理服务器交互,该服务器充当目标网站的中间人,秘密获取登录页面中输入的凭证和2FA密码。
每项服务以订阅的方式提供,时间为10天、20天或31天,该套件每月400美元,在通过Telegram与运营商手动安排付款后,通过TOR匿名网络访问。相比之下,攻击谷歌账户每月的费用高达600美元。
邪恶代理(网络钓鱼即服务)-Vimeo上ReseSecurity的Google 2FA。
“激活后,运营商将被要求提供SSH凭据,以进一步部署Docker容器和一组脚本,”ReseSecurity说,并补充说,这项技术与今年早些时候曝光的另一个名为Frappo的PhaaS服务类似。
尽管向潜在客户出售EvilProxy需要经过参与者的审查,但不用说,该服务提供了一个“成本效益高且可扩展的解决方案”,以实施社会工程攻击。
这一发展进一步表明,对手正在升级他们的攻击武器库,以精心策划以用户为目标的复杂网络钓鱼活动,从而击败现有的安全保障措施。
更令人担忧的是,针对面向公众的代码和包存储库(如GitHub、NPM、PyPI和RubyGems)的目标表明,运营商也旨在通过此类操作促进供应链攻击。
获得对账户的未经授权访问,并将恶意代码注入受信任的开发人员广泛使用的项目,可能是威胁行为体的金矿,大大扩大了活动的影响。
研究人员说:“参与者很可能以软件开发人员和It工程师为目标,以获取他们的存储库,最终目标是破解‘下游’目标”。
