All’indomani del recente hack di Twilio, che ha portato alla divulgazione dei codici 2FA (OTP), i criminali informatici continuano a migliorare i loro strumenti di attacco per preparare complesse campagne di phishing rivolte a persone di tutto il mondo.
Un nuovissimo Phishing-as-a-Service (PhaaS) chiamato EvilProxy è stato recentemente scoperto da Resecurity e pubblicizzato sul Dark Web. Altre fonti sostengono che Moloch, un nome diverso per l’attaccante, sia legato a un toolkit di phishing sviluppato da diversi noti operatori underground che in passato hanno preso di mira istituzioni finanziarie e il settore dell’e-commerce.
Anche se il problema di Twilio è legato solo alla catena di approvvigionamento, un servizio clandestino prodotto come EvilProxy consente agli attori delle minacce di attaccare gli utenti con MFA abilitato sulla più ampia scala senza dover compromettere i servizi a monte. Mentre gli attacchi contro gli obiettivi a valle sono inevitabili a causa delle vulnerabilità della sicurezza informatica.
Gli attori di EvilProxy utilizzano tecniche di Reverse Proxy e Cookie Injection per bypassare l’autenticazione 2FA tramite il proxy della sessione della vittima. Ciò evidenzia l’importanza di un aumento degli assalti ai servizi online e alle procedure di autorizzazione MFA. Queste tattiche sono state utilizzate in precedenza in operazioni mirate da gruppi APT e di cyber-spionaggio, ma ora sono state monetizzate con successo da EvilProxy.
Grazie alle continue indagini sugli esiti degli attacchi contro numerose persone di aziende Fortune 500, Resecurity è riuscita a scoprire molte cose su EvilProxy, tra cui la sua struttura, i suoi moduli, le sue funzionalità e l’infrastruttura di rete utilizzata per eseguire le azioni dannose. Gli attacchi agli utenti di Google e Microsoft che hanno attivato l’MFA sui loro account, tramite SMS o Application Token, sono stati collegati alle prime segnalazioni di EvilProxy.
