Campaña de phishing para atrapar a ejecutivos de nivel C. Esta sofisticada amenaza existe desde hace tiempo y ha vuelto para conseguir más víctimas. Descubre cómo funciona.
Campaña de phishing EvilProxy se dirige a usuarios de Microsoft 365, enfocándose en ejecutivos de nivel C
La plataforma de phishing EvilProxy ha surgido como una amenaza potente, apuntando con éxito a cuentas protegidas por MFA y generando preocupación entre los expertos en ciberseguridad. Se han enviado más de 120.000 correos electrónicos de phishing a más de cien organizaciones, con el objetivo de comprometer cuentas de Microsoft 365.
Ejecutivos de nivel C en el punto de mira
Esta tendencia creciente de apropiaciones exitosas de cuentas en la nube ha afectado especialmente a ejecutivos de alto rango. La campaña de EvilProxy implica una combinación de suplantación de marcas, tácticas de evasión contra la detección de bots y el uso de redirecciones abiertas.
EvilProxy emplea un modelo de phishing como servicio, utilizando proxies inversos para manipular las solicitudes de autenticación y las credenciales de los usuarios. El servidor malicioso intercepta el formulario de inicio de sesión legítimo, lo que permite el robo de cookies de autenticación cuando el usuario inicia sesión. Además, dado que los usuarios ya han superado los desafíos de MFA durante el inicio de sesión, la cookie robada permite a los piratas informáticos eludir la autenticación multifactor.
Un problema persistente
Las capacidades de EvilProxy se destacaron en un informe de Resecurity de septiembre de 2022, que reveló su disponibilidad por 400 dólares al mes para ciberdelincuentes, prometiendo acceso a una variedad de cuentas destacadas, incluidas las de Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy y PyPI.
EvilProxy ha sido explotado para enviar correos electrónicos que imitan marcas conocidas como Adobe, DocuSign y Concur. Una vez que las víctimas interactúan con los enlaces incrustados, atraviesan un camino complicado de redirecciones abiertas a través de plataformas como YouTube o SlickDeals. El camino está diseñado para minimizar las posibilidades de detección.
Finalmente, las víctimas llegan a una página de phishing operada por EvilProxy. Esta página refleja hábilmente la interfaz de inicio de sesión de Microsoft 365, a menudo incorporando el tema de la organización de la víctima para dar una apariencia de autenticidad.
Para evadir las herramientas de escaneo automático, los atacantes codifican las direcciones de correo electrónico de los usuarios y explotan sitios web legítimos comprometidos para decodificar las direcciones de correo electrónico.
Curiosamente, la campaña mostró predilección por atacar direcciones IP turcas, lo que sugiere una posible base de operaciones en Turquía. Además, los atacantes demostraron selectividad al elegir objetivos para la fase de apropiación de cuentas, priorizando a figuras 'VIP' e ignorando a personas de menor nivel. Entre las cuentas comprometidas, el 39% pertenecían a ejecutivos de nivel C, el 9% a directores ejecutivos y vicepresidentes, y el 17% a directores financieros.
Podría ser necesaria la seguridad basada en hardware
Una vez que se infiltra una cuenta de Microsoft 365, los actores de amenazas introducen su propio método de autenticación multifactor para persistir. El auge de los kits de phishing de proxy inverso, con EvilProxy como ejemplo principal, presenta un desafío creciente. Estas amenazas son capaces de ejecutar campañas de phishing a gran escala y de alta calidad que socavan los protocolos de seguridad.
Las contramedidas contra EvilProxy incluyen una mayor concienciación sobre seguridad, reglas estrictas de filtrado de correo electrónico y la adopción de claves físicas basadas en FIDO.
Para fortalecer aún más las cuentas, adoptar claves de seguridad basadas en hardware es una estrategia recomendada. Este enfoque, recientemente adoptado por Discord, subraya la importancia de mecanismos de defensa sólidos contra las tácticas de phishing en evolución.Campaña de phishing EvilProxy se dirige a usuarios de Microsoft 365, enfocándose en ejecutivos de nivel C
