Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy ve üzerinde çok faktörlü kimlik doğrulamayı (MFA) atlamak için kimlik doğrulama belirteçlerini çalmayı vaat eden EvilProxy adlı bir ters proxy Hizmet Olarak Kimlik Avı (PaaS) platformu ortaya çıktı. hatta PyPI.
Hizmet, aksi takdirde iyi korunan çevrimiçi hesapları çalmak için ters proxy’leri nasıl kuracağını bilmeyen düşük becerili tehdit aktörlerine olanak tanır.
Ters proxy’ler, hedeflenen kurban ile bir şirketin oturum açma formu gibi meşru bir kimlik doğrulama bitiş noktası arasında bulunan sunuculardır. Kurban bir kimlik avı sayfasına bağlandığında, ters proxy meşru oturum açma formunu görüntüler, istekleri iletir ve şirketin web sitesinden yanıtları döndürür.
Kurban, kimlik avı sayfasına kimlik bilgilerini ve MFA’yı girdiğinde, kullanıcının oturum açtığı gerçek platformun sunucusuna iletilir ve bir oturum tanımlama bilgisi döndürülür.
Ancak, tehdit aktörünün proxy’si ortada oturduğundan, kimlik doğrulama belirtecini içeren oturum çerezini de çalabilir. Tehdit aktörleri daha sonra bu kimlik doğrulama çerezini, yapılandırılmış çok faktörlü kimlik doğrulama korumalarını atlayarak kullanıcı olarak sitede oturum açmak için kullanabilir.
Gelişmiş APT grupları, bazıları kendi hesaplarını kullanan hedef hesaplarda MFA korumalarını atlamak için bir süredir ters proxy’ler kullanıyor. özel araçlar diğerleri daha fazla kullanırken kolayca dağıtılabilen kitler Modlishka, Necrobrowser ve Evilginx2 gibi.
Bu kimlik avı çerçeveleri ile EvilProxy arasındaki fark, ikincisinin dağıtılmasının çok daha basit olması, ayrıntılı eğitici videolar ve öğreticiler, kullanıcı dostu bir grafik arayüz ve popüler internet hizmetleri için zengin bir klonlanmış kimlik avı sayfası seçimi sunmasıdır.
EvilProxy’ye daha derin bir bakış
siber güvenlik firması Yeniden güvenlik raporları EvilProxy, tehdit aktörlerinin kimlik avı kampanyalarını ve bunların temelini oluşturan tüm ayrıntıları oluşturup yönetebilecekleri, kullanımı kolay bir GUI sunar.
Hizmet, on gün için 150 ABD Doları, 20 gün için 250 ABD Doları veya bir aylık kampanya için 400 ABD Doları karşılığında kullanıcı adlarını, şifreleri ve oturum çerezlerini çalmayı vaat ediyor. Google hesaplarına yönelik saldırıların maliyeti 250/450/600 ABD dolarıdır.
Aşağıdaki videoda Resecurity, bir Google hesabına yönelik bir saldırının EvilProxy aracılığıyla nasıl gelişeceğini gösteriyor.
Hizmet, çeşitli clearnet ve dark web korsanlığı forumlarında aktif olarak tanıtılırken, operatörler müşterileri denetler, bu nedenle bazı olası alıcılar muhtemelen reddedilir.
Resecurity’ye göre, hizmetin ödemesi Telegram’da ayrı ayrı düzenlenir. Para yatırma işlemi yapıldıktan sonra müşteri, soğan ağında (TOR) barındırılan portala erişim elde eder.
Resecurity’nin platform testi, EvilProxy’nin platform tarafından barındırılan kimlik avı sitelerinde geçersiz veya istenmeyen ziyaretçileri filtrelemek için VM, analiz önleme ve bot önleme koruması da sunduğunu doğruladı.
Resecurity, raporda “Kötü aktörler, kurbanları tanımak ve kimlik avı kiti kodunun tespit edilmesini önlemek için birden fazla teknik ve yaklaşım kullanıyor” diye açıklıyor.
“Dolandırıcılık önleme ve siber tehdit istihbaratı (CTI) çözümleri gibi, bilinen VPN hizmetleri, Proxy’ler, TOR çıkış düğümleri ve IP itibar analizi (potansiyel kurbanların) için kullanılabilecek diğer ana bilgisayarlar hakkında veri toplarlar.”
Dikkat edilmesi gereken bir hizmet
MFA’nın benimsenmesi artmaya devam ettikçe, daha fazla tehdit aktörü ters proxy araçlarına yöneliyor ve dolandırıcılar için her şeyi otomatikleştiren bir platformun ortaya çıkması, güvenlik uzmanları ve ağ yöneticileri için iyi bir haber değil.
Şimdilik, bu sorun yalnızca ortadaki adam isteklerini belirlemek ve filtrelemek için istemci tarafı TLS parmak izi uygulanarak çözülebilir. Ancak bu uygulamanın sektördeki durumu gelişmelerle uyumlu değildir.
Bu nedenle, EvilProxy gibi platformlar temel olarak beceri açığını kapatır ve düşük seviyeli tehdit aktörlerine değerli hesapları çalmak için uygun maliyetli bir yol sunar.