Согласно сообщениям, новый хакерский инструмент может обойти любые средства защиты, созданные для предотвращения кибератак, и получить доступ к некоторым из самых популярных веб-сайтов в мире.
Оператор инструмента EvilProxy говорит, что он может украсть токены аутентификации, необходимые для обхода систем многофакторной аутентификации (MFA), используемых такими компаниями, как Apple, Google, Facebook, Microsoft и Twitter.
Служба вызывает особую озабоченность, поскольку обещает сделать такие атаки доступными для всех хакеров, даже для тех, у кого нет конкретных навыков или знаний, необходимых для атаки на такие известные цели.
Фишинговая угроза
Инструмент был обнаружен охранной фирмой безопасность (откроется в новой вкладке)в котором отмечается, что EvilProxy (также известная как Moloch) — это платформа обратного прокси-фишинга как услуги (PaaS), рекламируемая в даркнете.
Он предлагает украсть имена пользователей, пароли и файлы cookie сеанса по цене 150 долларов за десять дней, 250 долларов за 20 дней или 400 долларов за месячную кампанию, хотя атаки против атак Google будут стоить дороже: 250, 450 долларов. и 600 долларов соответственно.
Обратные прокси-серверы обычно располагаются между веб-сайтом и какой-либо конечной точкой онлайн-аутентификации, например страницей входа. EvilProxy обманывает своих жертв, используя фишинговые приманки, перенаправляя их на законную страницу, где их просят ввести учетные данные для входа и информацию MFA. Затем эти данные отправляются на предполагаемый законный веб-сайт, регистрируя их, а также создавая файл cookie сеанса, содержащий токен аутентификации, который отправляется жертве.
Однако этот файл cookie и токен аутентификации могут быть украдены обратным прокси-сервером, который, как уже отмечалось, находится между пользователем и законным веб-сайтом. Затем злоумышленники могут использовать этот токен для входа на сайт, маскируясь под свою жертву, минуя необходимость повторного ввода информации в процессе MFA.
Resecurity отмечает, что помимо продуманности самой атаки, которую проще развернуть, чем другие атаки типа «человек посередине» (MITM), EvilProxy также отличает удобный подход. После покупки клиентам предоставляются подробные обучающие видеоролики и руководства по использованию инструмента, который может похвастаться понятным и открытым графическим интерфейсом, где пользователи могут настраивать свои фишинговые кампании и управлять ими.
Он также предлагает библиотеку существующих клонированных фишинговых страниц для популярных интернет-сервисов, которые, наряду с именами, упомянутыми выше, включают в себя такие, как GoDaddy, GitHub, Dropbox, Instagram, Yahoo и Yandex.
«Несмотря на то, что продажа EvilProxy требует проверки, у киберпреступников теперь есть экономичное и масштабируемое решение для проведения сложных фишинговых атак с целью компрометации пользователей популярных онлайн-сервисов с включенным MFA», — отмечает Resecurity.
«Появление таких сервисов в темной сети приведет к значительному увеличению активности ATO/BEC и кибератак, направленных на личность конечных пользователей, где MFA можно будет легко обойти с помощью таких инструментов, как EvilProxy».
С помощью BleepingКомпьютер (откроется в новой вкладке)