بهره‌مندی همگانی از تا‌کتیک‌های پیشرفته فیشینگ با سرویس جدید EvilProxy

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir new evilproxy service lets all hackers use advanced phishing tactics 1
یک پلتفرم Phishing-as-a-Service (PaaS) با پروکسی معکوس (Reverse-Proxy) به نام EvilProxy پدید آمده است که تضمین می‌کند توکن‌های احراز هویت را برای دور زدن احراز هویت چند عاملی (MFA) در اپل، گوگل، فیس‌بوک، مایکروسافت، توییتر، GitHub، GoDaddy و حتی PyPI سرقت نماید.

این سرویس به عوامل تهدید کم‌مهارت که نمی‌دانند چگونه پراکسی‌های معکوس راه اندازی کنند، این امکان را میدهد تا حساب‌های آنلاینی را سرقت کنند که در غیر این صورت به خوبی محافظت می‌شوند.

پراکسی‌های معکوس سرور‌هایی هستند که بین قربانی هدف و یک نقطه پایانی تایید اعتبار قانونی، مانند فرم ورود به سیستم یک شرکت، قرار می‌گیرند. هنگامی که قربانی به یک صفحه فیشینگ متصل می‌شود، پروکسی معکوس فرم ورود قانونی را نمایش می‌دهد، درخواست‌ها را فوروارد می‌کند و پاسخ‌ها را از وب‌سایت شرکت برمی گرداند.

هنگامی که قربانی اعتبار و MFA خود را به صفحه فیشینگ وارد می‌کند، به سرور پلتفرم واقعی هدایت می‌شود، جایی که کاربر وارد شده است و یک کوکی سِشِن بازگردانده می‌شود.

با‌این‌حال، از آنجایی که پروکسی عامل تهدید در وسط قرار دارد، می‌تواند کوکی سِشِن حاوی رمز احراز هویت را نیز بد‌زدد. سپس عوامل تهدید می‌توانند از این کوکی احراز هویت برای ورود به سایت به‌عنوان کاربر استفاده کنند و از حفاظت‌های احراز هویت چندعاملی پیکربندی شده عبور کنند.

takian.ir new evilproxy service lets all hackers use advanced phishing tactics 2
گروه‌های پیشرفته APT مدتی است که از پروکسی‌های معکوس برای دور زدن محافظت‌های MFA در حساب‌های هدف استفاده می‌کنند. برخی از ابزار‌های سفارشی خود را استفاده می‌کنند، در‌حالی‌که برخی دیگر از کیت‌های قابل استقرار آسان‌تر مانند Modlishka، Necrobrowser، و Evilginx2 بهره می‌برند.

تفاوت بین این فریمورک‌های فیشینگ و EvilProxy در این است که استفاده از این فریم‌ورک بسیار ساده‌تر است، فیلم‌ها و آموزش‌های آموزشی دقیق، یک رابط گرافیکی کاربرپسند، و مجموعه‌ای غنی از صفحات فیشینگ شبیه‌سازی‌شده برای سرویس‌های اینترنتی محبوب ارائه می‌دهد.

takian.ir new evilproxy service lets all hackers use advanced phishing tactics 3

نگاهی عمیق‌تر به EvilProxy
شرکت امنیت سایبری Resecurity گزارش می‌دهد که EvilProxy یک رابط کاربری گرافیکی با کاربری آسان ارائه می‌کند که در آن عوامل تهدید می‌توانند کمپین‌های فیشینگ و تمام جزئیاتی را که زیربنای آنهاست راه‌اندازی و مدیریت کنند.

takian.ir new evilproxy service lets all hackers use advanced phishing tactics 4
این سرویس وعده می‌دهد که نام کاربری، رمز عبور و کوکی‌های سِشِن را با هزینه ١۵٠ دلار برای ده روز، ٢۵٠ دلار برای ٢٠ روز، یا ٤٠٠ دلار برای یک کمپین یک ماهه به سرقت می‌برد. هزینه حملات علیه حساب‌های Google بیشتر است، یعنی ٢۵٠/٤۵٠/٦٠٠ دلار.

در این ویدیو (کلیک کنید) Resecurity نشان می‌دهد که چگونه حمله به یک حساب Google از طریق EvilProxy آشکار می‌شود.

در‌حالی‌که این سرویس به طور فعال در انجمن‌های مختلف هک دارک‌وب و کلین نت تبلیغ می‌شود، اپراتور‌ها مشتریان را بررسی می‌کنند، بنابراین برخی از خریداران احتمالی، احتمالا ریجکت می‌شوند.

به گزارش ریسکوریتی، پرداخت این سرویس به‌صورت تکی در تلگرام انجام می‌شود. پس از واریز، مشتری به پورتال میزبانی شده در شبکه Onion (TOR) دسترسی پیدا می‌کند.

تست Resecurity از این پلتفرم تایید کرد که EvilProxy همچنین VM، ضد تجزیه‌و‌تحلیل و محافظت ضد بات را برای فیلتر کردن بازدید‌کنندگان نا‌معتبر یا ناخواسته در سایت‌های فیشینگ میزبانی شده توسط پلتفرم ارائه می‌کند.

takian.ir new evilproxy service lets all hackers use advanced phishing tactics 5
مجموعه Resecurity در این گزارش توضیح می‌دهد : «عاملان مخرب از تکنیک‌ها و رویکرد‌های متعددی برای شناسایی قربانیان و محافظت از کد کیت فیشینگ در برابر شناسایی استفاده می‌کنند.»

آنها افزودند: «مانند راه‌حل‌های پیشگیری از کلاهبرداری و اطلاعات تهدیدات سایبری (CTI)، آنها داده‌های مربوط به سرویس‌های VPN شناخته شده، پروکسی‌ها، نود‌های خروج TOR و سایر میزبان‌ها را جمع‌آوری می‌کنند که ممکن است برای تجزیه‌و‌تحلیل نام و نشان IP (قربانیان احتمالی) استفاده شوند.»

سرویسی که باید مراقب آن بود
همانطور که پذیرش MFA همچنان در حال افزایش است، عوامل تهدید بیشتری به ابزار‌های معکوس پروکسی روی می‌آورند و ظاهر پلتفرمی که همه‌چیز را برای کلاهبرداران خودکار می‌کند، خبر خوبی برای متخصصان امنیتی و مدیران شبکه نیست.

takian.ir new evilproxy service lets all hackers use advanced phishing tactics 6
در حال حاضر، این مشکل تنها با اجرای فینگرپرینتینگ TLS از سمت مشتری برای شناسایی و فیلتر کردن درخواست‌های man-in-the-middle قابل حل باقی می‌ماند. با‌این‌حال، وضعیت این پیاده‌سازی در صنعت با تحولات همگام نیست.

از این‌رو، پلتفرم‌هایی مانند EvilProxy اساسا شکاف مهارت را پر می‌کنند و به عاملان تهدیدکننده سطح پایین، راهی مقرون‌به‌صرفه برای سرقت حساب‌های ارزشمند ارائه می‌دهند.

برچسب ها: Reverse Proxy, پروکسی معکوس, Modlishka, Necrobrowser, Multi Function Authentication, GoDaddy, PaaS, EvilProxy, Evilginx2, Cookie, احراز هویت چند عاملی, Platform, کوکی‌, Phishing-as-a-service, پلتفرم, PyPI, Tor, APT, Facebook, macOS, Microsoft, Man-in-the-middle, MFA, فیسبوک, Apple, اپل, Github, windows, ویندوز, phishing, malware, توییتر, Twitter, VPN, Cyber Security, حملات سایبری, مایکروسافت, گوگل, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ