网络钓鱼即服务EvilProxy套件被大量用于针对企业高管的攻击

威胁行为者越来越多地使用名为 EvilProxy 的网络钓鱼即服务 (PhaaS) 工具包来实施针对知名公司高级管理人员的账户接管攻击。

一项正在进行的混合活动利用该服务瞄准了数千个 Microsoft 365 用户帐户，在 2023 年 3 月至 6 月期间向全球数百个组织发送了约 120,000 封网络钓鱼电子邮件。

据称，数百名受感染用户中近 39% 是 C 级高管，包括首席执行官 (9%) 和首席财务官 (17%)。这些攻击还针对能够访问金融资产或敏感信息的人员。至少 35% 的受感染用户启用了额外的帐户保护。

这些活动被视为对企业中越来越多地采用多重身份验证 (MFA) 的回应，促使威胁行为者改进策略，通过合并中间对手 (AitM) 网络钓鱼套件来绕过新的安全层。凭据、会话 cookie 和一次性密码。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，攻击者使用新的先进自动化技术来准确地实时确定网络钓鱼用户是否是高级配置文件，并立即获得对该帐户的访问权限，同时忽略利润较低的网络钓鱼配置文件。

EvilProxy于 2022 年 9 月首次由 Resecurity 记录，详细介绍了其危害与 Apple iCloud、Facebook、GoDaddy、GitHub、Google、Dropbox、Instagram、Microsoft、NPM、PyPI、RubyGems、Twitter、Yahoo 和 Yandex 等相关用户帐户的能力其他的。

它以每月 400 美元的订阅价格出售，对于 Google 帐户来说，这一数字可能高达 600 美元。

PhaaS 工具包是网络犯罪经济的演变，降低了技术技能较低的犯罪分子以无缝且经济高效的方式大规模实施复杂网络钓鱼攻击的障碍。

安全研究人员表示：攻击者所需要做的就是使用带有可自定义选项的点击式界面来设置攻击活动，例如机器人检测、代理检测和地理围栏。这种相对简单且成本低廉的界面为成功的 MFA 网络钓鱼活动打开了大门。

最新一波攻击始于网络钓鱼电子邮件，这些电子邮件伪装成 Adob​​e 和 DocuSign 等受信任服务，诱骗收件人单击恶意 URL，激活多级重定向链，将他们带到类似 Microsoft 365 登录页面，该页面的功能相当于反向链接代理秘密地捕获表单中输入的信息。

但奇怪的是，这些攻击故意跳过来自土耳其 IP 地址的用户流量，将其重定向到合法网站，这表明活动运营商可能位于国外。

成功接管帐户后，威胁行为者会采取措施，通过添加自己的 MFA 方法（例如双因素身份验证器应用程序）在组织的云环境中“巩固自己的立足点”，以获得持久的远程访问并进行横向移动和恶意软件扩散。

该访问权限进一步货币化，以进行金融欺诈、窃取机密数据或将受损的用户帐户出售给其他攻击者。

研究人员表示：反向代理威胁（尤其是 EvilProxy）在当今的动态环境中是一个潜在的威胁，并且正在超越过去能力较弱的网络钓鱼工具包。他们指出，即使是 MFA 也不是对抗复杂云的灵丹妙药。

虽然这些攻击的最初威胁媒介是基于电子邮件的，但他们的最终目标是危害和利用有价值的云用户帐户、资产和数据。

与此同时，Imperva 透露了一项源自俄罗斯的网络钓鱼活动的详细信息，该活动旨在欺骗潜在目标，并至少自 2022 年 5 月起通过 WhatsApp 消息共享的诱杀链接窃取他们的信用卡和银行信息。

该活动涵盖 800 个不同的诈骗领域，冒充 48 种语言的 340 多家公司。其中包括知名银行、邮政服务、包裹递送服务、社交媒体和电子商务网站。