Raporlara göre, yeni bir bilgisayar korsanlığı aracı, siber saldırıları önlemek ve dünyanın en popüler web sitelerinden bazılarına erişim sağlamak için kurulan herhangi bir güvenlik korumasını güya yenebilir.
EvilProxy aracının arkasındaki operatör, Apple, Google, Facebook, Microsoft ve Twitter gibi şirketler tarafından kullanılan çok faktörlü kimlik doğrulama (MFA) sistemlerini atlamak için gereken kimlik doğrulama jetonlarını çalabildiğini söylüyor.
Hizmet, bu tür saldırıları, bu tür önemli hedeflere saldırmak için gereken kesin becerilere veya bilgiye sahip olmayanlar bile, tüm bilgisayar korsanları için kullanılabilir hale getirmeyi vaat ettiğinden özellikle endişe vericidir.
Kimlik avı tehdidi
Araç güvenlik firması tarafından keşfedildi yeniden güvenlik (yeni sekmede açılır)Bu, EvilProxy’nin (Moloch olarak da bilinir), dark web’de reklamı yapılan bir ters proxy Hizmet Olarak Kimlik Avı (PaaS) platformu olduğunu belirtir.
Kullanıcı adlarını, şifreleri ve oturum çerezlerini on gün için 150 ABD Doları, 20 gün için 250 ABD Doları veya bir aylık kampanya için 400 ABD Doları karşılığında çalmayı teklif eder – ancak Google saldırılarına yönelik saldırılar 250 ABD Doları, 450 ABD Doları’dır. ve sırasıyla 600 dolar.
Ters proxy’ler genellikle bir web sitesi ile oturum açma sayfası gibi bir tür çevrimiçi kimlik doğrulama uç noktası arasında bulunur. EvilProxy, kurbanlarını kimlik avı yemleri kullanarak kandırır ve onları oturum açma kimlik bilgilerini ve MFA bilgilerini girmelerinin istendiği meşru bir sayfaya götürür. Bu veriler daha sonra amaçlanan, meşru web sitesine gönderilir, oturum açılır ve ayrıca kurbana gönderilen bir kimlik doğrulama belirteci içeren bir oturum tanımlama bilgisi oluşturulur.
Ancak, bu tanımlama bilgisi ve kimlik doğrulama belirteci, daha sonra belirtildiği gibi kullanıcı ile yasal web sitesi arasında bulunan ters proxy tarafından çalınabilir. Saldırganlar daha sonra bu belirteci, MFA süreciyle ilgili bilgileri yeniden girme ihtiyacını ortadan kaldırarak, kurbanları gibi davranarak siteye giriş yapmak için kullanabilirler.
Resecurity, dağıtılması diğer ortadaki adam (MITM) saldırılarına göre daha kolay olan saldırının kendisinin zekasının yanı sıra, EvilProxy’yi farklı kılan şeyin de kullanıcı dostu yaklaşımı olduğunu belirtiyor. Satın aldıktan sonra müşterilere, kullanıcıların kimlik avı kampanyalarını oluşturup yönetebilecekleri açık ve açık bir grafik arayüze sahip olan aracın nasıl kullanılacağına ilişkin ayrıntılı eğitim videoları ve eğitimler verilir.
Ayrıca, yukarıda belirtilen adlarla birlikte GoDaddy, GitHub, Dropbox, Instagram, Yahoo ve Yandex gibi popüler internet hizmetleri için mevcut klonlanmış kimlik avı sayfalarının bir kitaplığını da sunar.
Resecurity, “EvilProxy’nin satışı inceleme gerektirse de, siber suçlular artık etkinleştirilmiş MFA ile popüler çevrimiçi hizmetlerin tüketicilerini tehlikeye atmak için gelişmiş kimlik avı saldırıları gerçekleştirmek için uygun maliyetli ve ölçeklenebilir bir çözüme sahip.”
“Bu tür hizmetlerin karanlık ağda ortaya çıkması, ATO/BEC etkinliğinde ve MFA’nın EvilProxy gibi araçların yardımıyla kolayca atlanabileceği son kullanıcıların kimliğini hedefleyen siber saldırılarda önemli bir artışa yol açacaktır.”
Aracılığıyla BleeBilgisayar (yeni sekmede açılır)