ReSecurity研究人员于2022年9月发现了EvilProxy,它与几位著名的地下行为者开发的网络钓鱼工具包有一定联系,他们以前曾针对金融机构和电子商务部门。
EvilProxy使用反向代理和Cookie注入方法绕过2FA身份验证——代理受害者的会话。此前,此类方法已在APT和网络间谍组织的有针对性的活动中出现,然而,现在这些方法已在EvilProxy中成功生产,这突出了针对在线服务和MFA授权机制的攻击增长的重要性。
该活动中使用的攻击链始于从伪造的电子邮件地址发送的网络钓鱼电子邮件。黑客模拟已知的可信服务,如Concur、DocuSign和Adobe。网络钓鱼邮件包含指向恶意Microsoft 365网络钓鱼网站的链接。点击嵌入链接后,收件人会通过YouTube或SlickDeals进行开放重定向,然后进行一系列重定向以避免被发现。
最终,用户流量会被引导到EvilProxy网络钓鱼框架。登录页起到反向代理的作用,模仿收件人品牌,并试图处理第三方身份提供商。如果需要,这些页面可能会请求MFA凭据,以便于代表受害者进行真实、成功的身份验证,从而验证收集到的凭据是否合法。
研究人员注意到,袭击的流量取决于受害者的地理位置。来自土耳其IP地址的用户流量被引导到合法网页,这种情况表明,这场运动背后的黑客总部似乎设在土耳其。
报告最后总结道:“黑客不断寻求新的方法来窃取用户的凭据并访问有价值的用户帐户。他们的方法和技术不断适应新的安全产品和方法,如多因素身份验证。即使是MFA也不是应对复杂威胁的灵丹妙药,可以通过各种形式的电子邮件绕过MFA攻击。”
转自E安全,原文链接:https://mp.weixin.qq.com/s/AHtfyWH7zDgtCcAbpsyogQ
封面来源于网络,如有侵权请联系删除