Tras el reciente ataque a la compañía de servicios en la nube »Twilio», que condujo a la filtración de códigos 2FA (OTP), los ciberdelincuentes continúan actualizando su arsenal de ataques para orquestar campañas de phishing avanzadas dirigidas a todo tipo de usuarios alrededor del mundo.
Resecurity ha identificado recientemente un nuevo Phishing-as-a-Service (PhaaS) llamado EvilProxy anunciado en la Dark Web. En algunas fuentes, el nombre alternativo es Moloch, que tiene alguna conexión con un kit de phishing desarrollado por varios actores clandestinos notables que antes se dirigieron a las instituciones financieras y al sector del comercio electrónico.
Si bien el incidente con Twilio está relacionado únicamente con la cadena de suministro, los riesgos de seguridad cibernética obviamente conducen a ataques contra objetivos posteriores, el servicio »clandestino» producido como EvilProxy permite a los actores de amenazas atacar a los usuarios con MFA habilitado en la mayor escala sin la necesidad de atacar los servicios anteriores.
Los actores de esta campaña están utilizando métodos de inyección de cookies y proxy inverso para eludir la autenticación 2FA: la sesión de la víctima.
Anteriormente, estos métodos se habían visto en campañas dirigidas de APT y grupos de ciberespionaje; sin embargo, ahora se ejecutaron con éxito en EvilProxy, lo que destaca la importancia del crecimiento de los ataques contra los servicios en línea y los mecanismos de autorización de MFA.
A raíz de la investigación y luego de investigar diversos ataques producidos contra empresas Fortune 500, Resecurity pudo obtener mayor información sobre EvilProxy, incluida su estructura, módulos, funciones y la infraestructura de red utilizada para realizar actividades maliciosas.
Las primeras ocurrencias de EvilProxy se identificaron inicialmente en relación con los ataques contra los clientes de Google y MSFT que tienen MFA habilitado en sus cuentas, ya sea con SMS o token de aplicación.
La primera mención de EvilProxy se detectó a principios de mayo de 2022, cuando los actores que lo ejecutan publicaron un video de demostración que detalla cómo podría usarse para entregar enlaces de phishing avanzados con la intención de comprometer las cuentas de los consumidores que pertenecen a las principales marcas como Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex y otros.
¿Cómo funciona?
EvilProxy utiliza el principio de «Reverse Proxy». Este concepto es simple: los ciberdelincuentes conducen a las víctimas a una página de phishing, usan el proxy inverso para obtener todo el contenido legítimo que el usuario espera, incluidas las páginas de inicio de sesión; detecta su tráfico a medida que pasa por el proxy. De esta manera, pueden recolectar cookies de sesión válidas y evitar la necesidad de autenticarse con nombres de usuario, contraseñas y/o tokens 2FA.
La compañía de seguridad adquirió videos publicados por actores de EvilProxy que demuestran cómo se puede usar para robar la sesión de la víctima y pasar con éxito a través de los servicios de correo electrónico de Microsoft 2FA y Google.