Gli alti dirigenti delle organizzazioni con sede negli Stati Uniti sono il bersaglio di una nuova campagna di phishing che utilizza un popolare toolkit di phishing chiamato EvilProxy per effettuare attacchi di raccolta delle credenziali e di prelievo degli account. Menlo Security ha rilevato che l’attività è iniziata a luglio 2023, colpendo principalmente i settori bancario e finanziario, assicurativo, gestione immobiliare, immobiliare e manifatturiero.
Dettagli dell’attacco
Gli attori minacciosi hanno sfruttato una vulnerabilità di reindirizzamento aperto sulla piattaforma di ricerca di lavoro “indeed.com”, reindirizzando le vittime verso pagine di phishing che impersonavano Microsoft. EvilProxy, documentato per la prima volta da Resecurity nel settembre 2022, funziona come un proxy inverso che si posiziona tra l’obiettivo e una pagina di login legittima per intercettare credenziali, codici di autenticazione a due fattori (2FA) e cookie di sessione per dirottare gli account di interesse.
Chi sono gli attori minacciosi?
Gli attori dietro il kit di phishing AiTM sono monitorati da Microsoft con il nome di Storm-0835 e si stima che abbiano centinaia di clienti. “Questi cybercriminali pagano tariffe di licenza mensili che variano da 200 a 1.000 USD e conducono campagne di phishing quotidiane”, ha dichiarato Microsoft. A causa del gran numero di attori minacciosi che utilizzano questi servizi, è impraticabile attribuire campagne a specifici attori.
Come funziona l’attacco?
Nell’ultimo set di attacchi documentati da Menlo Security, alle vittime vengono inviate e-mail di phishing con un link ingannevole che punta a Indeed, che a sua volta reindirizza l’individuo a una pagina EvilProxy per raccogliere le credenziali inserite. Questo viene realizzato sfruttando una vulnerabilità di reindirizzamento aperto.
Altri metodi di attacco
Gli attori minacciosi stanno anche sfruttando Dropbox per creare false pagine di login con URL incorporati che, quando vengono cliccati, reindirizzano gli utenti a siti falsi progettati per rubare le credenziali dell’account Microsoft come parte di uno schema di compromissione della posta elettronica aziendale (BEC). “È un altro esempio di come gli hacker stiano utilizzando servizi legittimi in quello che chiamiamo attacchi BEC 3.0”, ha dichiarato Check Point.
Microsoft ha notato come “gli attori minacciosi stiano adattando le loro tecniche di ingegneria sociale e l’uso della tecnologia per effettuare attacchi BEC più sofisticati e costosi” abusando dell’infrastruttura basata sul cloud e sfruttando relazioni commerciali di fiducia.
Cos’è EvilProxy?
EvilProxy è un toolkit di phishing che funziona come un proxy inverso per intercettare credenziali e altri dati sensibili tra l’obiettivo e una pagina di login legittima.