Un nuovo toolkit di phishing-as-a-service (PhaaS) soprannominato EvilProxy viene pubblicizzato clandestinamente su internet da alcuni malintenzionati informatici: esso contiene minacce atte ad aggirare le protezioni di autenticazione a 2 fattori (2FA) che sono impiegate per proteggere gli account.
“I creatori di EvilProxy stanno utilizzando proxy inverso e metodi di iniezione (injection) di cookie per aggirare l’autenticazione a 2 fattori, proxando la sessione della vittima“, hanno affermato i ricercatori di Resecurity in un articolo di lunedì scorso.
Come funziona questo EvilProxy di preciso?
La piattaforma genera collegamenti di phishing che non sono altro che pagine clonate progettate per compromettere gli account utente associati a Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo e Yandex e tanti altri ancora.
Sì… siamo sempre lì: applicazioni o link che sembrano vere ma in realtà sono fasulli.
EvilProxy è simile agli attacchi adversary-in-the-middle (AiTM) in quanto gli utenti interagiscono con un server proxy dannoso che funge da intermediario per il sito Web di destinazione, raccogliendo segretamente le credenziali e e le password dei vari “2 fattori” inseriti nelle pagine di accesso.
Viene offerto in abbonamento per servizio per un periodo di 10, 20 o 31 giorni, con il kit disponibile per 400$ (circa 403€ col cambio attuale) al mese e accessibili tramite la rete anonima TOR, al solo scopo di sgraffignare dati di terzi e i pagamenti avvengono “manualmente” tramite Telegram.
Un attacco ad un account Google può costare addirittura 600 dollari americani.
Ma stai dicendo che qualcuno paga per rovinare altri col phishing?
No, non hai letto male, hai letto bene: c’è gente che va su Telegram a pagare sconosciuti per rovinare loro gli account e bypassare la protezione a 2 fattori pur di rovinare la gente: e questi sfruttano la rete TOR per non essere beccati e fare soldi coi dati.
“Dopo l’attivazione, all’operatore verrà chiesto di fornire credenziali SSH per distribuire ulteriormente un container Docker e un set di script [ovviamente malevoli]“, ha affermato Resecurity, aggiungendo che la tecnica rispecchia quella di un altro servizio PhaaS chiamato Frappo che è venuto alla luce all’inizio di quest’anno.
Sebbene la vendita di EvilProxy ai potenziali clienti sia soggetta al controllo dei vari malfattori, è ovvio che il servizio offre una “soluzione economica e scalabile” per eseguire attacchi di ingegneria sociale (come abbiamo visto ancora: account fasulli che sembrano veri e passano link malevoli e fare un po’ di…phishing).
L’attuale fase di sviluppo dimostra che questi personaggi stanno potenziando il loro “arsenale informatico”, per poter orchestrare campagne di phishing molto sofisticate rivolte ai malcapitati vari in modo da riuscire ad aggirare le protezioni più “grosse”, come il 2 fattori.
Ad aumentare le preoccupazioni, il targeting del codice pubblico e dei repository di pacchetti come GitHub, NPM, PyPI e RubyGems suggerisce che gli sviluppatori mirano anche a facilitare gli attacchi all’utenza tramite tali operazioni (con tutta probabilità come esiste il fake login per Facebook e Instagram questi vogliono fare la stessa cosa con il 2 fattori).
Ottenere l’accesso non autorizzato agli account e inserire codice dannoso in progetti ampiamente utilizzati da sviluppatori affidabili può essere una miniera d’oro di dati per gli autori di questa tipologia di attacchi, ampliando notevolmente l’impatto delle potenziali vittime.
“È molto probabile che i criminali mirino a prendere di mira sviluppatori di software e ingegneri IT per ottenere l’accesso ai loro repository con l’obiettivo finale di hackerare obiettivi altamente desiderati“, hanno affermato i ricercatori.
