EvilProxy, la nueva herramienta que permite a los hackers utilizar tácticas avanzadas de phishing
Tras el reciente hackeo de Twilio que condujo a la filtración de códigos 2FA (OTP), los ciberdelincuentes continúan actualizando su arsenal de ataques. Esto para orquestar campañas de phishing avanzadas dirigidas a usuarios de todo el mundo.
Prueba de ello es que ha surgido una plataforma de phishing como servicio (PaaS) de proxy inverso llamada EvilProxy. EvilProxy promete robar tokens de autenticación para evitar la autenticación multifactor (MFA) en Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy e incluso PyPI.
En algunas fuentes, el nombre alternativo es Moloch, que tiene alguna conexión con un kit de phishing desarrollado por varios actores clandestinos notables que anteriormente atacaron a instituciones financieras y al sector del comercio electrónico.
El servicio permite a los ciberdelincuentes poco calificados que no saben cómo configurar proxies inversos robar cuentas en línea que, de otro modo, estarían bien protegidas.
La primera mención de EvilProxy se detectó a principios de mayo de 2022, cuando los desarrolladores que lo ejecutan publicaron un video de demostración. El video detalla cómo podría usarse para enviar enlaces de phishing avanzados con la intención de comprometer las cuentas de los usuarios que pertenecen a las principales marcas como Apple , Facebook , GoDaddy , GitHub , Google , Dropbox , Instagram , Microsoft , Twitter , Yahoo , Yandex, entre otros.
Proxies inversos
Los proxies inversos son servidores que se encuentran entre la víctima objetivo y un punto final de autenticación legítimo, como el formulario de inicio de sesión de una empresa. Cuando la víctima se conecta a una página de phishing, el proxy inverso muestra el formulario de inicio de sesión legítimo, reenvía las solicitudes y devuelve las respuestas del sitio web de la empresa.
Cuando la víctima ingresa sus credenciales y MFA en la página de phishing, se reenvían al servidor de la plataforma real, donde el usuario inicia sesión y se devuelve una cookie de sesión.
Sin embargo, como el proxy del atacante se encuentra en el medio, también puede robar la cookie de sesión que contiene el token de autenticación. Los ciberdelincuentes pueden usar esta cookie de autenticación para iniciar sesión en el sitio como usuario. Esto para evadir las protecciones de autenticación multifactor configuradas por los usuarios.
Los grupos APTs sofisticados han estado empleando proxies inversos durante un tiempo para evadir las protecciones MFA en las cuentas de destino. Algunos han estado usando sus propias herramientas personalizadas mientras que otros usan kits más fáciles de implementar como Modlishka, Necrobrowser y Evilginx2.
La diferencia entre estos frameworks de phishing y EvilProxy es que este último es mucho más simple de implementar. EvilProxy ofrece videos y tutoriales instructivos detallados, una interfaz gráfica fácil de usar y una rica selección de páginas de phishing clonadas para servicios de Internet populares.
Una mirada más profunda a EvilProxy
La firma de seguridad cibernética Resecurity informó que EvilProxy ofrece una interfaz gráfica de usuario fácil de usar. Ahí, los ciberdelincuentes pueden configurar y administrar campañas de phishing y todos los detalles que las sustentan.
El servicio promete robar nombres de usuario, contraseñas y cookies de sesión, por un costo de $150 por diez días, $250 por 20 días o $400 por una campaña de un mes. Los ataques contra las cuentas de Google cuestan más, 250/450/600 dólares.
Siendo sinceros, los ciberdelincuentes han hecho un gran trabajo en términos de usabilidad del servicio y configurabilidad de nuevas campañas, flujos de tráfico y recopilación de datos.
En el siguiente video, Resecurity demuestra cómo se desarrollaría un ataque contra una cuenta de Google a través de EvilProxy.
Si bien el servicio se promociona activamente en varios foros de hacking de internet público y la dark web, los operadores analizan a los clientes. Por lo tanto, es probable que algunos posibles compradores sean rechazados.
Según Resecurity, el pago del servicio se organiza de forma individual en Telegram. Una vez que se realiza el depósito, el cliente obtiene acceso al portal alojado en la red .onion(TOR).
La prueba de Resecurity de la plataforma confirmó que EvilProxy también ofrece protección contra máquinas virtuales, antianálisis y antibots. Esto para filtrar visitantes no válidos o no deseados en los sitios de phishing alojados por la plataforma.
“Los malhechores utilizan múltiples técnicas y enfoques para reconocer a las víctimas y proteger el código del kit de phishing para que no sea detectado”.
“Al igual que las soluciones de prevención de fraude e inteligencia de amenazas cibernéticas (CTI), agregan datos sobre servicios VPN conocidos, Proxies, nodos de salida TOR y otros hosts que pueden usarse para el análisis de reputación de IP (de víctimas potenciales)”.
Informe de Resecurity.
Un servicio a tener en cuenta
A medida que la adopción de MFA continúa aumentando, más atacantes recurren a herramientas de proxy inverso. Por lo tanto, la aparición de una plataforma que automatiza todo para los delincuentes no es una buena noticia para los profesionales de la seguridad y los administradores de redes.
Por ahora, este problema sigue siendo abordable solo mediante la implementación de fingerprinting de TLS del lado del cliente. Esto para identificar y filtrar las solicitudes de intermediarios. Sin embargo, el estado de esta implementación en la industria no está sincronizado con los desarrollos.
Por lo tanto, plataformas como EvilProxy esencialmente cierran la brecha de habilidades y ofrecen a los ciberdelincuentes de bajo nivel una forma rentable de robar cuentas valiosas.
Conclusión
Si bien la venta de EvilProxy requiere investigación, los ciberdelincuentes ahora tienen una solución rentable y escalable para realizar ataques de phishing avanzados para comprometer a los consumidores de servicios en línea populares con MFA habilitado.
La aparición de tales servicios en la Dark Web conducirá a un aumento significativo en la actividad BEC y los ataques cibernéticos dirigidos a la identidad de los usuarios finales, donde MFA puede evadirse fácilmente con la ayuda de herramientas como EvilProxy.