Kit de suplantación de identidad EvilProxy
Los investigadores de Infosec han notado una tendencia alarmante de actores relacionados con el fraude que utilizan progresivamente un conjunto de herramientas de Phishing-as-a-Service (PhaaS) llamado EvilProxy. El malware se está implementando como una forma de orquestar ataques de apropiación de cuentas con un enfoque específico en los ejecutivos de organizaciones destacadas.
Se ha observado que una campaña de ataque de este tipo emplea una estrategia híbrida que aprovecha las funcionalidades del conjunto de herramientas EvilProxy. El objetivo es apuntar a una cantidad sustancial de cuentas de usuario de Microsoft 365, que culminó con la distribución de aproximadamente 120 000 correos electrónicos de phishing en una multitud de organizaciones en todo el mundo dentro del período de marzo a junio de 2023.
Significativamente, entre los numerosos usuarios comprometidos, casi el 39% se identifican como ejecutivos de nivel C. Esto comprende los directores ejecutivos que constituyen el 9% y los directores financieros que representan el 17%. Estos ataques también se concentran en el personal que posee acceso a recursos financieros sensibles o información crítica. Sorprendentemente, no menos del 35% de todos los usuarios comprometidos habían optado por capas adicionales de seguridad de la cuenta.
Los expertos en ciberseguridad indican que estas campañas orquestadas son una respuesta directa a la mayor implementación de la autenticación multifactor (MFA) dentro de las empresas. En consecuencia, los actores de amenazas han adaptado sus estrategias para superar las nuevas barreras de seguridad mediante la incorporación de kits de phishing adversary-in-the-middle (AitM). Estos kits están diseñados para capturar credenciales, cookies de sesión y contraseñas de un solo uso, lo que permite a los atacantes discernir, en tiempo real, si un usuario phishing tiene una importancia de alto nivel. Esta identificación precisa permite a los atacantes acceder rápidamente a la cuenta, enfocando sus esfuerzos en objetivos lucrativos sin tener en cuenta los perfiles menos valiosos.
Los kits de phishing como EvilProxy permiten a los ciberdelincuentes menos calificados llevar a cabo ataques sofisticados
Los investigadores informaron inicialmente sobre EvilProxy en septiembre de 2022 cuando revelaron su capacidad para comprometer las cuentas de usuario asociadas con varias plataformas destacadas, incluidas Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo y Yandex, entre otros. Este conjunto de herramientas se comercializa como un servicio de suscripción, disponible a una tarifa base de $400 por mes. Sin embargo, el costo puede escalar a $600 para las cuentas de Google como destino, lo que refleja el valor más alto asociado con esas credenciales.
Los kits de herramientas de phishing como servicio (PhaaS) representan una evolución notable en el panorama del delito cibernético, reduciendo efectivamente las barreras de entrada para los delincuentes con menos habilidades técnicas. Esta evolución permite la ejecución de sofisticados ataques de phishing a gran escala, todo ello manteniendo un enfoque fluido y rentable.
La disponibilidad de amenazas con interfaces tan sencillas y económicas ha resultado en un aumento significativo en las actividades exitosas de phishing de autenticación multifactor (MFA). Esta tendencia significa un cambio en las tácticas empleadas por los ciberdelincuentes, permitiéndoles explotar de manera eficiente las vulnerabilidades de los sistemas MFA y amplificar la escala de sus ataques.
Los actores de amenazas de EvilProxy usan correos electrónicos fraudulentos para atraer a víctimas desprevenidas
Las operaciones de ataque registradas comienzan con la distribución de correos electrónicos de phishing que adoptan la apariencia de servicios confiables como Adobe y DocuSign. Este enfoque engañoso tiene como objetivo atraer a los destinatarios para que interactúen con las URL maliciosas que se encuentran en los correos electrónicos. Una vez que se hace clic en estas URL, se activa una secuencia de redirección de varias etapas. El objetivo es llevar al objetivo a una página de inicio de sesión similar a Microsoft 365, ingeniosamente diseñada para imitar el portal auténtico. La página de inicio de sesión falsificada actúa como un proxy inverso, capturando discretamente la información enviada a través del formulario.
Un elemento notable dentro de esta campaña es su exclusión deliberada del tráfico de usuarios que se origina en direcciones IP turcas. Este tráfico en particular se redirige a sitios web legítimos, lo que sugiere la posibilidad de que los orquestadores de la campaña tengan su origen en ese país.
Una vez que se logra una adquisición de cuenta exitosa, los actores de amenazas proceden a establecer un punto de apoyo firme dentro del entorno de nube de la organización. Esto se logra mediante la introducción de su propio método de autenticación multifactor (MFA), como una aplicación de autenticación de dos factores. Este movimiento estratégico garantiza que los atacantes puedan mantener un acceso remoto constante, lo que facilita el movimiento lateral dentro del sistema y la proliferación de malware adicional.
Luego, el acceso adquirido se aprovecha con fines de monetización. Los actores de amenazas pueden optar por participar en fraudes financieros, filtrar datos confidenciales o incluso vender cuentas de usuario comprometidas a otras entidades maliciosas. En el panorama actual de amenazas dinámicas, las amenazas de proxy inverso, específicamente ejemplificadas por EvilProxy, son una amenaza extremadamente potente, que supera las capacidades de los kits de phishing menos sofisticados utilizados en el pasado. En particular, incluso la autenticación multifactor (MFA) no es inmune a estas amenazas avanzadas basadas en la nube.
