Resecurity的研究人员最近发现了一个新的网络钓鱼即服务(Phaas)平台EvilProxy,该平台正在被炒作暗网。在其他表达方式中,有称为Moloch的表达方式。该平台以某种方式与之前由著名攻击者针对金融机构和电子商务公司开发的网络钓鱼工具包相关联。此前,针对Twilio的供应链攻击导致了双因素身份验证代码的泄露。像EvilProxy这样的平台能够在不破坏供应链的情况下攻击大规模启用双因素身份验证的用户。EvilProxy尝试使用反向代理和cookie注入代理受害者的会话来绕过双因素身份验证。这种攻击方式之前在APT攻击中已经发现,EvilProxy已经成功商业化。调查发现,攻击者的目标是多家世界500强公司的员工。EvilProxy于2022年5月上旬首次被发现,攻击者发布了一段演示视频(https://player.vimeo.com/video/746020364),介绍了针对Apple、Facebook、GoDaddy、GitHub、Google、Dropbox、Instagram的攻击Microsoft、Twitter、Yahoo、Yandex等品牌。值得注意的是,EvilProxy还支持针对Python语言的官方软件存储库PythonPackageIndex(PyPi)的网络钓鱼攻击。针对PyPi的攻击前不久,PyPi官方表示,项目贡献者遭到钓鱼攻击,最终使用JuiceStealer作为Payload部署。根据分析调查,此次攻击与EvilProxy有关。除了PyPi,EvilProxy还支持GitHub和npmjs。攻击者希望通过网络钓鱼攻击渗透到供应链中,危及下游软件开发人员和IT人员。EvilProxy是一款针对GitHub和npmjs的攻击反向代理,利用反向代理原理将受害者引导至钓鱼网站,通过反向代理为用户提供包括登录页面在内的所有合法内容。当流量通过反向代理时,攻击者可以获得有效的会话cookie并绕过双因素身份验证检查。谷歌双因素认证示例(https://player.vimeo.com/video/746020880)的操作方式如下:谷歌双因素认证微软双因素认证示例(https://player.vimeo.com/video/746021195)如下:微软双因素认证EvilProxy是一个订阅系统,用户可以选择10天、20天或31天。由John_Malkovich管理,在主要黑客社区销售,包括XSS、Exploit和Breached。论坛广告EvilProxy通过电报联系和付款。订阅价格EvilProxy提供教程和教学视频,坦率地说,攻击者在易用性方面做得非常出色。官网攻击者使用Docker容器和一组脚本部署,自动化安装程序部署在Gitlab用户ksh8h297aydO中。apt更新-qqy&&aptdist-upgrade--no-install-recommends--no-install-suggests-oDpkg::options::="--force-confdef"-y\&&aptinstall--no-install-推荐--no-install-suggests-ygit\&&rm-rf/srv/control-agent&&gitclone--recurse-submoduleshttps://gitlab.com/ksh8h297ayd0/docker-control-agent.git/srv/control-agent\&&cd/srv/control-agent&&chmod+x./install.sh\&&/srv/control-agent/install.sh'[license_key]'===*=部署成功后,会来自受害者的流量通过两个网关向上游转发。配置信息例如模拟微软邮件服务的钓鱼网站地址为:https://lmo.msdnmail[.]net/common/oauth2/v2.0/authorize?client_id=4765445b-32c6-49b0-83e6-1d93765276ca&redirect_uri=https%3A%2Fopenid%20profile%20https%3A%2F%2Fwwwofc.msdnmail.net%2Fv2%2FOfficeHome.All&response_mode=form_post&nonce=637975588496970710.Zjg3YzFkMmEtYTUxYy00NDliLWEzYzAtMTExZTliNjBkY2ZkY2U3NzM2MDMtZWNhZC00ZWFmLWE5YjMtYzgzZTFjM2E1ZDdl&ui_locales=en-US&mkt=en-US&state=jHi-CP0Nu4oFHIxklcT1adstnCWbwJwuXQWTxNSSsw-23qiXK-6EzyYoAyNZ6rHuHwsIYSkRp99F-bqPqhN4JVCnT4-3MQIDvdTKapKarcqaMFi6_xv2__3D0KfqBQ070ykGBGlwxFQ6Mzt9CwUsz2zdgcB4jFux2BhZQwcj-WumSBz0VQs5VePV-wz00E8rDxEXfQdlv-AT29EwdG77AmGWinyf3yQXSZTHJyo8s-IWSHoly3Kbturwnc87sDC3uwEn6VDIjKbbaJ-c-WOzrg&x-client-SKU=ID_NETSTANDARD2_0&x-client-ver=6.16.0.0?获取授权后的URL为:https://473126b6-bf9a-4a96-8111-fb04f6631ad8-571c4b21.msdnmail[.]net/mail/?realm=[victim_domain]&exsvurl=1&ll-cc=1033&modurl=0&JitExp=1&url=%2Fowa%2F%3Frealm%253d%2526exsvurl%253d1%2526ll-cc%253d1033%2526modurl%253d0%2526login_hint%253[victim_email]%252540[victim_domain]钓鱼攻击者模拟微软邮件服务VPN服务、代理服务、Tor出口节点等数据,如果潜在受害者被判断为机器人或研究人员时,链接将自动断开。另一种基于指纹的安全防护配置方法:指纹识别配置攻击者对虚拟机也非常警惕:虚拟机检测虚拟机检测总结EvilProxy为攻击者提供了一个低成本、可扩展的解决方案来进行钓鱼攻击,能够绕过双因素身份验证并降低用户的安全性。
