После недавнего взлома Twilio, приведшего к утечке кодов 2FA (OTP), киберпреступники продолжают совершенствовать свой арсенал атак для организации продвинутых фишинговых кампаний, направленных на пользователей по всему миру. Resecurity недавно обнаружила новую фишинговую услугу под названием EvilProxy, рекламируемую в "темной паутине". В некоторых источниках альтернативное название - Moloch, что имеет некоторую связь с фишинг-китом, разработанным несколькими известными подпольными субъектами, которые ранее атаковали финансовые учреждения и сектор электронной коммерции.
EvilProxy используют методы обратного прокси и инъекции куки для обхода аутентификации 2FA - проксирования сессии жертвы. Первые случаи появления EvilProxy были выявлены в связи с атаками на клиентов Google и MSFT, у которых на аккаунтах включена MFA - с помощью SMS или Application Token.
EvilProxy использует принцип "обратного прокси". Концепция обратного прокси проста: злоумышленники ведут жертву на фишинговую страницу, используют обратный прокси для получения всего легитимного контента, который ожидает пользователь, включая страницы входа - они прослушивают трафик, проходящий через прокси. Таким образом, они могут собирать действующие куки сессии и обходить необходимость аутентификации с помощью имен пользователей, паролей и/или маркеров 2FA.
Indicators of Compromise
IPv4
- 147.78.47.250
- 185.158.251.169
- 194.76.226.166
Domains
- cpanel.evilproxy.pro
- cpanel.pua75npooc4ekrkkppdglaleftn5mi2hxsunz5uuup6uxqmen4deepyd.onion
- evilproxy.pro
- login-live.rproxy.io
- msdnmail.net
- rproxy.io
- top-cyber.club
Domain Port Combinations
- gw2.usd0182738s80.click:9000