Un nuevo kit de herramientas de phishing como servicio (PhaaS) apodado EvilProxy se está anunciando en el underground criminal como un medio para que los actores de la amenaza eludan las protecciones de autenticación de dos factores (2FA) empleadas contra los servicios en línea.
«Los actores de EvilProxy utilizan métodos de proxy inverso e inyección de cookies para eludir la autenticación 2FA, proxificando la sesión de la víctima», señalaron los investigadores de Resecurity en un artículo publicado el lunes.
La plataforma genera enlaces de phishing que no son más que páginas clonadas diseñadas para comprometer las cuentas de usuario asociadas a Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo y Yandex, entre otras.
EvilProxy es similar a los ataques adversary-in-the-middle (AiTM) en el sentido de que los usuarios interactúan con un servidor proxy malicioso que actúa como intermediario para el sitio web de destino, recogiendo de forma encubierta las credenciales y los códigos de acceso 2FA introducidos en las páginas de inicio de sesión.
Se ofrece en base a una suscripción por servicio por un periodo de tiempo de 10, 20 o 31 días, con el kit disponible por 400 dólares al mes y al que se accede a través de la red de anonimato TOR después de arreglar el pago manualmente con un operador en Telegram. Los ataques contra las cuentas de Google, en cambio, cuestan hasta 600 dólares al mes.
Aunque la venta de EvilProxy a los posibles clientes está sujeta a la investigación de los actores, no hace falta decir que el servicio ofrece una «solución rentable y escalable» para llevar a cabo ataques de ingeniería social.
Este hecho es un indicio más de que los adversarios están mejorando su arsenal de ataques para orquestar sofisticadas campañas de phishing dirigidas a los usuarios de manera que puedan derrotar las salvaguardias de seguridad existentes.
Para aumentar la preocupación, el hecho de dirigirse a repositorios de código y paquetes públicos como GitHub, NPM, PyPI y RubyGems sugiere que los operadores también pretenden facilitar los ataques a la cadena de suministro a través de estas operaciones.
Obtener acceso no autorizado a las cuentas e inyectar código malicioso en proyectos ampliamente utilizados por desarrolladores de confianza puede ser una mina de oro para los actores de la amenaza, ampliando significativamente el impacto de las campañas.
Es muy probable que los actores apunten a los desarrolladores de software y a los ingenieros informáticos para obtener acceso a sus repositorios con el objetivo final de hackear objetivos «posteriores»», señalan los investigadores.
