EvilProxy se está ganando rápidamente un nombre como una de las herramientas de phishing más efectivas para atacar cuentas que cuentan con autenticación multifactor (MFA). Investigadores han detectado 120,000 emails fraudulentos enviados a más de un centenar de organizaciones con el objetivo de infiltrarse en cuentas de Microsoft 365.
Este alarmante dato proviene de un estudio reciente, que señala un aumento significativo en los casos exitosos de toma de control de cuentas en la nube durante los últimos cinco meses. Curiosamente, los más afectados son ejecutivos de nivel alto.
La compañía de ciberseguridad Proofpoint ha identificado una campaña masiva impulsada por EvilProxy que utiliza diversas técnicas sofisticadas, como la suplantación de marcas reconocidas, la evasión de sistemas de detección automatizados y redirecciones que confunden a las defensas de seguridad.
EvilProxy es un servicio de phishing que utiliza servidores proxy inversos para canalizar solicitudes de autenticación y credenciales entre la víctima y el sitio web legítimo al que intenta acceder. Al actuar como si fuera el portal legítimo de inicio de sesión, EvilProxy puede sustraer las "cookies" de autenticación del usuario una vez que éste ha iniciado sesión.
Además, debido a que el usuario ya ha completado los desafíos de autenticación multifactor (MFA) durante el inicio de sesión, la "cookie" robada da a los ciberdelincuentes la llave para sortear este nivel de seguridad adicional.
Según un informe de Resecurity en septiembre de 2022, EvilProxy se ofrece en el mercado negro a un costo de 400 dólares mensuales. Esta tarifa da a los ciberdelincuentes la capacidad de dirigir sus ataques a cuentas en servicios populares como Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy y PyPI.
Un estudio reciente de Proofpoint, realizado desde marzo de 2023, reveló una nueva ola de ataques de phishing que utilizan EvilProxy. Los correos fraudulentos en esta campaña imitan a marcas conocidas como Adobe, DocuSign y Concur.
Te podría interesar leer: EvilProxy: Servicio de Phishing en la Dark Web capaz de eludir el MFA.
Si el objetivo cae en la trampa y hace clic en el enlace incrustado en el correo, es dirigido a través de una serie de redirecciones que comienzan en sitios como YouTube o SlickDeals. Estas redirecciones múltiples tienen el propósito de dificultar la detección y el análisis del tráfico malicioso.
Al final del laberinto de redirecciones, el usuario es conducido a una página fraudulenta gestionada por EvilProxy. Esta página imita el portal de inicio de sesión de Microsoft 365 y, para añadir un grado extra de realismo, incluso adapta el diseño para que coincida con la estética corporativa de la organización a la que pertenece la víctima. De esta manera, todo parece más legítimo y auténtico.
Los investigadores encontraron que esta última campaña tiene una peculiaridad: los usuarios con direcciones IP ubicadas en Turquía son redirigidos a sitios legítimos, neutralizando efectivamente el ataque. Esto podría indicar que los operadores de la campaña podrían estar basados en ese país.
Además, el estudio de Proofpoint destacó que los atacantes son muy selectivos al elegir a sus víctimas. Se centran principalmente en objetivos de alto perfil, o "VIP", mientras que aquellos en posiciones inferiores dentro de la organización son generalmente pasados por alto.
Desglosando las víctimas, el 39% eran ejecutivos de nivel C, el 9% incluía a CEO y vicepresidentes, el 17% eran directores financieros, y el resto eran empleados con acceso a información financiera sensible o datos confidenciales.
Una vez que se compromete una cuenta de Microsoft 365, los ciberdelincuentes establecen su propio método de autenticación multifactor (a través de aplicaciones de autenticación que usan notificaciones y códigos), asegurando así su control continuo sobre la cuenta.
La amenaza de kits de phishing que utilizan proxy inverso, como es el caso de EvilProxy, está en ascenso. Son capaces de llevar a cabo ataques de phishing de alta calidad en una escala peligrosamente amplia, eludiendo diversas medidas de seguridad y protecciones de cuenta.
La defensa contra esta creciente amenaza radica en elevar el nivel de conciencia sobre seguridad cibernética, aplicar reglas de filtrado de correo electrónico más rigurosas y adoptar claves físicas de autenticación.
Te podría interesar leer: Protección de Phishing: No Muerdas el Anzuelo
No dejes que EvilProxy ponga en riesgo la seguridad de tu organización. Con TecnetOne y nuestro Soc as a Service, tú puedes tomar el control y fortalecer tus defensas contra los ataques de phishing más sofisticados.