EvilProxy + Cloudflare: новая эра изощрённого фишинга

Разработчики фишингового комплекта EvilProxy создали и активно распространяют пошаговые инструкции по использованию легитимных сервисов Cloudflare для маскировки злонамеренного трафика. Подобные злонамеренные руководства добавляют новые инструменты в арсенал киберпреступников, которые изначально не обладают продвинутыми техническими навыками.

EvilProxy, являющийся набором инструментов для фишинга через обратный прокси, продаётся на чёрных рынках с середины 2022 года. По словам Дэниела Блэкфорда, директора по исследованиям угроз компании Proofpoint, ежемесячно регистрируется около миллиона угроз, связанных с EvilProxy. Он отмечает, что данный хакерский сервис облегчает настройку фишинговых кампаний и предоставляет поддержку через Telegram-канал и обучающие видео на YouTube.

В последние месяцы Proofpoint наблюдает значительное увеличение числа кампаний, использующих EvilProxy и сервисы Cloudflare для маскировки трафика. При помощи последнего преступники обходят автоматические системы обнаружения и направляют фишинговые ссылки только на целевых пользователей, что делает атаки более эффективными.

Летом прошлого года Proofpoint предупредила об активной кампании, которая использовала EvilProxy для отправки около 120 000 фишинговых писем сотням организаций по всему миру. Основными целями были руководители высшего звена, так как их учётные данные предоставляют доступ к наиболее ценным ресурсам.

Атаки начинаются с фишингового письма, отправленного от имени надёжного сервиса, такого как Cloudflare, Adobe или DocuSign. Письмо содержит ссылку, перенаправляющую пользователей через легитимный сайт, такой как YouTube или SlickDeals. Это усложняет обнаружение злонамеренной активности.

После нескольких перенаправлений пользователь попадает на фишинговый сайт, имитирующий страницу входа Microsoft. EvilProxy действует как обратный прокси, перехватывая запросы и ответы сервера, что позволяет преступникам красть сессионные куки и токены многофакторной аутентификации.

Хотя большинство кампаний EvilProxy не связывают с конкретными группировками, Proofpoint отметила использование этого инструмента группами TA4903 и TA577. Последняя ранее занималась распространением вредоносного ПО QBot, а TA4903 известна атаками на бизнес-корреспонденцию. Оба этих группы использовали EvilProxy для кражи учётных данных.

Компания Menlo Security в октябре прошлого года также сообщала о кампании, использовавшей EvilProxy, направленной на высшее руководство компаний в банковской сфере, страховании и недвижимости. С тех пор разработчики EvilProxy улучшили сервис, добавив функции для обнаружения ботов и возможность тестирования сообщений.

Исследователь Menlo Security Рависанкар Рампрасад тогда отметил, что EvilProxy остаётся одним из наиболее используемых платформ фишинга наряду с NakedPages, Greatness и Tycoon 2FA. А в последнее время злоумышленники ещё и используют популярные сайты для перенаправления на фишинговые страницы, чтобы сделать свои атаки скрытнее.

Для защиты от подобных угроз эксперты рекомендуют использовать физические ключи безопасности FIDO и облачные инструменты для обнаружения компрометации учётных записей. Также важно повышать осведомлённость пользователей и проводить регулярное обучение сотрудников.