سرقت اطلاعات کاربران با راه اندازی پلتفرم EvilProxy

اخیراً یک پلتفرم PaaS (فیشینگ به‌عنوان سرویس) به نام EvilProxy که خدمات پروکسی معکوس را ارائه می‌دهد در بازار ظاهر شده و با دور زدن 2FA داده های کاربران را به سرقت می برد

EvilProxy – فیشینگ به عنوان یک سرویس از طریق دارک وب برای دور زدن 2FA تبلیغ می شود. با بهره‌برداری از این سرویس جدید، عوامل تهدید می‌توانند با کمک توکن‌های احراز هویت سرقت شده، قابلیت MFA را در پلتفرم‌های Apple، Google ، Facebook ، Microsoft ، Twitter ، GitHub ، GoDaddy ، PyPI دور بزنند.

تحلیل فنی
حساب‌های آنلاینی که به خوبی محافظت می‌شوند می‌توانند توسط عوامل تهدید تازه‌کار با استفاده از این سرویس قابل دسترس باشند. در طول حملات پراکسی معکوس، سرورها بین یک Endpoint تأیید شده و قربانی هدف قرار می گیرند. سرورهای پراکسی معکوس، فرم‌های ورود معتبر را در پاسخ به حملات فیشینگ، درخواست‌های فوروارد و پاسخ‌های برگشتی از سرورهای شرکت، زمانی که قربانی به صفحه فیشینگ متصل می‌شود را نمایش می‌دهند.

EHA
طبق این گزارش، قربانی پس از وارد کردن اعتبار و MFA خود در صفحه فیشینگ، به سرور واقعی هدایت می‌شود و پس از ورود، یک کوکی سشن برگردانده می شود و کاربر می تواند به حساب کاربری خود دسترسی پیدا کند. به این ترتیب عامل تهدید با هدف دور زدن حفاظت های احراز هویت چند عاملی و با استفاده از کوکی احراز هویت این امکان را به دست آورده است که با هویت کاربر وارد سایت شود. در برخی موارد، عامل ها از ابزارهای سفارشی خود که متناسب با نیازهای آنهاست استفاده می‌کنند در بقیه موارد، آنها از کیت هایی استفاده می کنند که می توانند بسیار سریعتر مستقر شوند، مانند: Modlishka، Necrobrowserو Evilginx2

EvilProxy
علاوه بر ارائه یک رابط کاربری گرافیکی بسیار کاربرپسند، EvilProxy همچنین طیف وسیعی از ویژگی‌ها را ارائه می‌کند که به عوامل تهدید در راه‌اندازی و مدیریت کمپین‌های فیشینگ و تکنیک‌های دقیق آنها کمک می‌کند.

برای استفاده از این سرویس، کاربر باید قیمت‌های 150 دلار: 10 روز 250 دلار: 20 روز و 400 دلار را برای کمپین یک ماهه به منظور داشتن فرصتی برای سرقت نام‌های کاربری، رمز عبور و کوکی‌های سشن بپردازد. هزینه‌های مرتبط با حملاتی علیه حساب های گوگل بیشتر بوده و با قیمت های 250 دلار، 450دلار و600 دلار می باشد.

در انجمن های مختلف هک وب تاریک و کلین نت، اپراتورها به طور فعال این سرویس را برای مشتریان بالقوه تبلیغ می کنند. و این احتمال وجود دارد که برخی از خریداران احتمالی توسط اپراتورها رد شوند زیرا آنها مشتریان را بررسی می کنند و یک ترتیب پرداخت فردی برای این سرویس در تلگرام وجود دارد که باید از قبل انجام شود. مشتری پس از پرداخت از طریق درگاه پرداخت، به پورتال میزبان TOR دسترسی خواهد داشت.

منبع :

پلیس فضای تولید تبادل اطلاعات فراجا