Набор фишинговых инструментов EvilProxy позволяет киберпреступникам обходить двухфакторную защиту

Набор фишинговых инструментов EvilProxy позволяет киберпреступникам обходить двухфакторную защиту

С его помощью злоумышленники успешно обходят многофакторную аутентификацию Google и Microsoft.

По сообщениям команды Resecurity, на форумах в дарвебе был обнаружен новый сервис под названием EvilProxy, предоставляющий фишинг как услугу (Phishing-as-a-Service, PhaaS-сервис).

Клиенты EvilProxy получают возможность использовать обратные прокси и технику внедрения cookie для обхода многофакторной аутентификации (MFA), в том числе двухфакторной аутентификации (2FA) Google и Microsoft. Исследователи предупреждают, что наблюдали такие методы только в атаках APT-группировок и целевых кампаниях кибершпионажа.

Согласно данным Resecurity, первые атаки с использованием были направлены на клиентов Google и MSFT, у которых была включена MFA. А первая рекламная кампания была замечена в начале мая 2022 года – разработчики выпустили демонстрационное видео, в котором подробно показали как можно использовать EvilProxy для создания и распространения фишинговых ссылок. С помощью этих ссылок можно собирать учетные данные клиентов Apple, Facebook*, Google, Instagram, Microsoft, Twitter и других крупных компаний.

Свои услуги EvilProxy предоставляет по подписке, перед этим клиенту придется пройти тщательную проверку. Функционал можно приобрести на 10, 20 или 30 дней, а также есть возможность выбрать жертву.

Кроме того, анализ функционала EvilProxy выявил, что сервис позволяет осуществлять фишинговые атаки на PyPI. По словам специалистов, эта возможность была добавлена в инструментарий незадолго до августовских атак , в ходе которых злоумышленники распространяли инфостилер JuiceStealer.

Эксперты считают, что EvilProxy будет использоваться хакерами против разработчиков ПО и IT-инженеров, чтобы получить доступ к их репозиториям и осуществлять атаки на цепочки поставок.

*Meta и все продукты компании признаны экстремистскими организациями; их деятельность в России запрещена.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!