Die EvilProxy-Phishing-Kampagne, die auf Microsoft 365-Nutzer abzielt und sich auf Führungskräfte konzentriert, wird von BTW Media profiliert, da veröffentlichte Beweise sie mit Internet-Infrastruktur, Governance, operativen Abhängigkeiten oder Marktsichtbarkeit in Verbindung bringen.
Die EvilProxy-Phishing-Kampagne, die auf Microsoft 365-Nutzer abzielt und sich auf Führungskräfte konzentriert, wird als Internet-Infrastruktur-Institution innerhalb des Internet-Infrastruktur-Ökosystems verfolgt.
Konfidenz-Score-Leitfaden
Mehrere öffentliche Quellen
Phishing-Kampagne gegen Führungskräfte. Diese hochentwickelte Bedrohung gibt es schon seit einiger Zeit und sie kehrt zurück, um weitere Opfer zu fordern. Erfahren Sie, wie sie funktioniert.
EvilProxy-Phishing-Kampagne zielt auf Microsoft 365-Nutzer ab und konzentriert sich auf Führungskräfte
Die Phishing-Plattform EvilProxy ist zu einer mächtigen Bedrohung geworden, die erfolgreich auf durch MFA geschützte Konten abzielt und bei Cybersicherheitsexperten Besorgnis erregt. Über 120.000 Phishing-E-Mails wurden an mehr als hundert Organisationen gesendet, mit dem Ziel, Microsoft 365-Konten zu kompromittieren.
Führungskräfte im Visier
Dieser zunehmende Trend erfolgreicher Übernahmen von Cloud-Konten hat insbesondere Führungskräfte getroffen. Die EvilProxy-Kampagne kombiniert Markenimitation, Umgehungstaktiken gegen Bot-Erkennung und die Nutzung offener Weiterleitungen.
EvilProxy nutzt ein Phishing-as-a-Service-Modell (PHaaS), indem es Reverse-Proxys einsetzt, um Authentifizierungsanfragen und Benutzeranmeldedaten zu manipulieren. Der bösartige Server fängt das legitime Anmeldeformular ab und ermöglicht den Diebstahl von Authentifizierungs-Cookies bei der Anmeldung des Benutzers. Da die Benutzer die MFA-Herausforderungen bereits bestanden haben, können die Angreifer mit dem gestohlenen Cookie die Multifaktor-Authentifizierung umgehen.
Ein altbekanntes Problem
Die Fähigkeiten von EvilProxy wurden in einem Bericht von Resecurity vom September 2022 hervorgehoben, der seine Verfügbarkeit für Cyberkriminelle für 400 $/Monat offenlegte und Zugang zu einer Reihe wichtiger Konten versprach, darunter Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy und PyPI.
EvilProxy wurde genutzt, um E-Mails zu versenden, die bekannte Marken wie Adobe, DocuSign und Concur imitieren. Sobald die Opfer mit den eingebetteten Links interagieren, durchlaufen sie einen verworrenen Pfad offener Weiterleitungen über Plattformen wie YouTube oder SlickDeals. Dieser Pfad wurde entwickelt, um die Erkennungswahrscheinlichkeit zu minimieren.
Schließlich landen die Opfer auf einer von EvilProxy betriebenen Phishing-Seite. Diese Seite ahmt die Microsoft 365-Anmeldeoberfläche geschickt nach und integriert häufig das Thema der Organisation des Opfers, um Authentizität vorzutäuschen.
Um automatischen Scannertools zu entgehen, kodieren die Angreifer die E-Mail-Adressen der Benutzer und nutzen kompromittierte legitime Websites, um die E-Mail-Adressen zu dekodieren.
Interessanterweise zeigte die Kampagne eine Präferenz für die Ausrichtung auf türkische IP-Adressen, was auf eine mögliche Operationsbasis in der Türkei hindeutet. Darüber hinaus waren die Angreifer bei der Auswahl der Ziele für die Phase der Kontenübernahme selektiv und bevorzugten "VIP"-Persönlichkeiten, während Personen auf niedrigerer Ebene ignoriert wurden. Von den kompromittierten Konten gehörten 39 % Führungskräften, 9 % CEOs und Vizepräsidenten und 17 % Finanzdirektoren.
Hardwarebasierte Sicherheit könnte notwendig sein
Sobald ein Microsoft 365-Konto infiltriert wurde, führen die Angreifer ihre eigene Multifaktor-Authentifizierungsmethode ein, um ihre Persistenz zu gewährleisten. Der Aufstieg von Reverse-Proxy-Phishing-Kits, deren bekanntes Beispiel EvilProxy ist, stellt eine wachsende Herausforderung dar. Diese Bedrohungen sind in der Lage, groß angelegte, qualitativ hochwertige Phishing-Kampagnen durchzuführen, die Sicherheitsprotokolle kompromittieren.
Gegenmaßnahmen gegen EvilProxy umfassen ein erhöhtes Sicherheitsbewusstsein, strenge E-Mail-Filterregeln und die Einführung von FIDO-basierten physischen Schlüsseln.
Um die Konten weiter zu stärken, wird die Einführung von Hardware-Sicherheitsschlüsseln als Strategie empfohlen. Dieser Ansatz, der kürzlich von Discord übernommen wurde, unterstreicht die Bedeutung robuster Abwehrmechanismen gegen sich ständig weiterentwickelnde Phishing-Taktiken.EvilProxy-Phishing-Kampagne zielt auf Microsoft 365-Nutzer ab und konzentriert sich auf Führungskräfte
Signalbericht
- Signal: EvilProxy-Phishing-Kampagne zielt auf Microsoft 365-Nutzer ab und konzentriert sich auf Führungskräfte
- Region: Europa und Naher Osten
- Marktklasse: Globale Cloud-Services-Trends
Betriebspräsenz
- Veröffentlichte Quellen sollten die betroffenen Parteien, den Betriebsfußabdruck und die Marktexposition identifizieren, bevor diese Trendkarte als vollständig betrachtet wird.
Marktkontext
- Operative Relevanz: Mittel
- Zeithorizont: Nächstes Quartal
Was ansehen?
- Achten Sie auf offizielle Stellungnahmen, regulatorische Aktualisierungen, Gefährdung von Kunden oder Partnern sowie ergänzende Offenlegungen.
Mitgliederbriefing
Vertiefter Trendkontext
Melden Sie sich mit der richtigen Mitgliedschaftsstufe an, um das vollständige Briefing und die Quellennotizen freizuschalten.
Nur für Strategic Circle
Strategic Circle
Offen für alle Leser. Schalten Sie Trend-Briefings nach Beitritt und Anmeldung frei.
Strategic Circle beitretenNur für Leadership Alliance
Leadership Alliance
Für Betreiber, Investoren und Politikteams, die Belege für Beziehungen, Fehlerpfade und Quellennotizen benötigen. Melden Sie sich an, um freizuschalten.
Leadership Alliance beitreten
