Insight Los desarrolladores del kit de phishing EvilProxy, denominado “LockBit del phishing”, han creado una guía para disfrazar el tráfico malicioso utilizando servicios legítimos de Cloudflare. Esto brinda a los delincuentes sin experiencia técnica real cada vez más herramientas para ingresar al negocio del robo digital.
EvilProxy es un kit de phishing de proxy inverso que se vende en los mercados de la web oscura y recibe el sobrenombre de “servicio de phishing” (PhaaS). Según Resecurity, uno de los cazadores de amenazas que alertó por primera vez sobre la existencia del kit de herramientas, la herramienta ha estado ayudando a los delincuentes a lanzar ataques desde al menos mediados de 2022.
Daniel Blackford, director de investigación de amenazas para la industria de seguridad del correo electrónico, dijo que Proofpoint detecta alrededor de 1 millón de amenazas de EvilProxy cada mes.
“El servicio EvilProxy hace que sea muy fácil registrarse en el servicio y configurar una campaña de phishing”, dijo Blackford a The Register.
El operador de EvilProxy tiene un canal de Telegram que publica información de atención al cliente, vídeos de YouTube sobre cómo utilizar el servicio y otras guías sobre cómo los usuarios pueden lanzar ataques y disfrazar actividades delictivas.
“En los últimos meses, Proofpoint ha visto un aumento significativo en las campañas de EvilProxy que utilizan el servicio Cloudflare para falsificar el tráfico. Sólo el usuario humano objetivo interactúa y recibe la página de inicio de phishing de credenciales”, explica Blackford. “El uso del filtrado de Cloudflare es una de las guías proporcionadas por EvilProxy”.
El verano pasado en el hemisferio norte, Proofpoint informó sobre un proceso en curso que utiliza EvilProxy para enviar aproximadamente 120.000 correos electrónicos fraudulentos a “cientos” de organizaciones de todo el mundo entre marzo y junio de 2023. Este mensaje está dirigido a ejecutivos de C-Suite, cuyas credenciales podrían ser robadas para acceder a objetivos lucrativos.
Anatomía del ataque
Así es como funcionan estos ataques:
Los ataques comienzan con correos electrónicos de phishing que parecen provenir de servicios confiables como Cloudflare, Adobe y DocuSign. Estos mensajes contienen enlaces que redirigen a los usuarios a sitios web legítimos como YouTube y SlickDeals. En este paso, el atacante codifica el nombre de usuario dentro de la URL.
Luego, los usuarios son enviados a muchos otros sitios web, lo que también oculta el tráfico y dificulta la detección de actividades maliciosas. Estos sitios incluyen sitios de redireccionamiento controlados por atacantes. Estos pueden incluir sitios web legítimos y comprometidos repletos de código PHP que permite a los atacantes descifrar los correos electrónicos de los usuarios.
Finalmente, los usuarios son redirigidos a un sitio web de phishing real que imita la página de inicio de sesión de Microsoft de la organización víctima. Se implementa utilizando el marco de phishing EvilProxy, que puede recuperar dinámicamente contenido del sitio de inicio de sesión real y actúa como un proxy inverso para enviar a la víctima al sitio web real. Esto permite a los delincuentes interceptar las solicitudes y respuestas del servidor, lo que permite un escenario de ataque de intermediario.
Los atacantes pueden robar cookies de sesión y tokens MFA para iniciar sesión en cuentas legítimas de Microsoft.
TA4903 y TA577 participan en expedición de pesca
“Aunque la mayoría de las campañas de EvilProxy no son atribuibles a actores de amenazas rastreados, Proofpoint ha observado recientemente que al menos dos actores de amenazas notables emplean el uso de EvilProxy: TA4903 y TA577”, escribió Blackford.
TA577, que era el principal distribuidor del malware QBot antes del esfuerzo de sabotaje liderado por el FBI hace un año, utilizó EvilProxy en una campaña de phishing a principios de este año, dijo Blackford. Calificó esto de “notable” porque este grupo de amenazas en particular suele realizar campañas de malware.
De manera similar, TA4903, conocido por sus ataques de vulneración de correo electrónico empresarial (BEC), utiliza EvilProxy para ataques de phishing de credenciales para obtener acceso a las bandejas de entrada de correo electrónico, vulneración de correo electrónico empresarial (BEC) y campañas de phishing posteriores.
De hecho, según un informe de Proofpoint, el 73% de las organizaciones sufrieron un ataque BEC después de un intento de phishing exitoso en 2023. Además, el 32% de estos correos electrónicos de phishing provocaron infecciones de ransomware posteriores.
El verano pasado, Menlo Security anunció que había descubierto ataques con EvilProxy entre julio y agosto de 2023 dirigidos principalmente a altos ejecutivos de bancos, empresas de servicios financieros, compañías de seguros, fabricantes y empresas de gestión inmobiliaria.
Desde entonces, los delincuentes detrás de EvilProxy han mejorado su servicio de phishing con una detección de bots mejorada y nuevas funciones de Bot Guard. Los desarrolladores de software malicioso también permitieron a los usuarios agregar sus propios bots y chats o grupos de Telegram. Antes de lanzar una campaña de phishing a gran escala, los delincuentes potenciales también pueden probar los mensajes directamente desde la interfaz web de EvilProxy.
“EvilProxy PhaaS está experimentando actualmente un aumento significativo en las campañas de phishing y sigue siendo la plataforma PhaaS más utilizada junto con las soluciones NakedPages, Greatness y Tycoon 2FA PhaaS”, dijo a The Register Ravisankar Ramprasad, investigador de amenazas de Menlo Security.
“Durante los últimos siete días, hemos observado una campaña activa en la que los adversarios utilizan www.scienceopen, un sitio popular para acceder a investigaciones y revistas científicas.[.]com” para redirigir a las víctimas a una página de phishing falsa. Agregó que los nuevos subdominios vistos en la campaña eran ‘0nline’, ‘l1ve’, ‘0ffice’, ‘rfp’ y ‘rfq’, y todavía se veían subdominios más antiguos como ‘lmo’.
Según Proofpoint y Menlo, el aumento de EvilProxy y kits de phishing similares está ayudando a los defensores de la red a utilizar MFA resistente al phishing, como claves de seguridad físicas basadas en FIDO, y herramientas de seguridad en la nube para detectar el compromiso inicial de la cuenta y la actividad posterior al compromiso. Deberías usar .
Además, la concientización de los usuarios y la capacitación continua de los empleados siempre son importantes para protegerse contra el phishing y otras amenazas. ®
Fuente: https://www.theregister.com/AMP/2024/07/30/evilproxy_phishing_kit_analysis/