EvilProxy Phishing Campaign Targets Microsoft 365 Users, Focuses on C-Level Executives

Campaña de phishing para atrapar ejecutivos de alto nivel. Esta sofisticada amenaza lleva tiempo circulando y ha vuelto para conseguir más víctimas. Descubre cómo funciona. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

Campaña de phishing de EvilProxy apunta a usuarios de Microsoft 365 y se centra en ejecutivos de alto nivel Ver también: Alejandro Estua.

La plataforma de phishing EvilProxy se ha convertido en una amenaza potente, atacando con éxito cuentas protegidas por MFA y generando preocupación entre los expertos en ciberseguridad. Se han enviado más de 120.000 correos electrónicos de phishing a más de cien organizaciones, con el objetivo de comprometer cuentas de Microsoft 365. Ver también: Alejandro Manzo.

Ejecutivos de alto nivel en el punto de mira Ver también: Alejandro Hernandez.

Esta tendencia creciente de apropiación exitosa de cuentas en la nube ha afectado especialmente a los altos ejecutivos. La campaña de EvilProxy combina la suplantación de marcas, tácticas de evasión contra la detección de bots y el uso de redirecciones abiertas. Ver también: Alejandro Garza.

EvilProxy utiliza un modelo de phishing como servicio, empleando proxies inversos para manipular las solicitudes de autenticación y las credenciales de usuario. El servidor malicioso intercepta el formulario de inicio de sesión legítimo, lo que permite el robo de cookies de autenticación cuando el usuario inicia sesión. Además, dado que los usuarios ya han superado los retos de MFA durante el inicio de sesión, la cookie robada permite a los hackers eludir la autenticación multifactor. Ver también: Alejandro Guerrero.

Un problema de larga duración Ver también: Alec Gramont.

Las capacidades de EvilProxy se destacaron en un informe de Resecurity de septiembre de 2022, que reveló su disponibilidad para ciberdelincuentes por 400 dólares al mes, prometiendo acceso a una variedad de cuentas prominentes, incluidas las de Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy y PyPI. Ver también: La chipflación de la IA estrangula a los fabricantes de dispositivos más allá de los centros de datos.

EvilProxy se ha utilizado para enviar correos electrónicos que imitan a marcas conocidas como Adobe, DocuSign y Concur. Cuando las víctimas interactúan con los enlaces incrustados, recorren un camino complicado de redirecciones abiertas a través de plataformas como YouTube o SlickDeals. El recorrido está diseñado para minimizar las posibilidades de detección.

Finalmente, las víctimas llegan a una página de phishing operada por EvilProxy. Esta página imita hábilmente la interfaz de inicio de sesión de Microsoft 365, incorporando a menudo el tema de la organización de la víctima para dar un aspecto de autenticidad.

Para evadir las herramientas de escaneo automático, los atacantes codifican las direcciones de correo electrónico de los usuarios y explotan sitios web legítimos comprometidos para decodificarlas.

Curiosamente, la campaña mostró preferencia por atacar direcciones IP turcas, lo que sugiere una posible base de operaciones en Turquía. Además, los atacantes demostraron selectividad a la hora de elegir objetivos para la fase de apropiación de cuentas, priorizando a figuras “VIP” e ignorando a individuos de menor nivel. Entre las cuentas comprometidas, el 39% pertenecía a ejecutivos de alto nivel, el 9% a directores ejecutivos y vicepresidentes, y el 17% a directores financieros.

Podría ser necesaria una seguridad basada en hardware

Una vez que se infiltra una cuenta de Microsoft 365, los actores de amenazas introducen su propio método de autenticación multifactor para mantener la persistencia. El aumento de los kits de phishing con proxy inverso, con EvilProxy como ejemplo principal, representa un desafío creciente. Estas amenazas son capaces de ejecutar campañas de phishing a gran escala y de alta calidad que socavan los protocolos de seguridad.

Las contramedidas contra EvilProxy incluyen una mayor concienciación sobre seguridad, reglas estrictas de filtrado de correo electrónico y la adopción de claves físicas basadas en FIDO.

Para reforzar aún más las cuentas, se recomienda adoptar claves de seguridad basadas en hardware. Este enfoque, adoptado recientemente por Discord, subraya la importancia de mecanismos de defensa sólidos contra las tácticas de phishing en evolución.Campaña de phishing de EvilProxy apunta a usuarios de Microsoft 365 y se centra en ejecutivos de alto nivel