С его помощью злоумышленники успешно обходят многофакторную аутентификацию Google и Microsoft.
https://www.securitylab.ru/upload/ib...19y6b9rux1.jpg
По сообщениям команды Resecurity, на форумах в дарвебе был обнаружен новый сервис под названием EvilProxy, предоставляющий фишинг как услугу (Phishing-as-a-Service, PhaaS-сервис).
Клиенты EvilProxy получают возможность использовать обратные прокси и технику внедрения cookie для обхода многофакторной аутентификации (MFA), в том числе двухфакторной аутентификации (2FA) Google и Microsoft. Исследователи предупреждают, что наблюдали такие методы только в атаках APT-группировок и целевых кампаниях кибершпионажа.
Согласно данным Resecurity, первые атаки с использованием были направлены на клиентов Google и MSFT, у которых была включена MFA. А первая рекламная кампания была замечена в начале мая 2022 года – разработчики выпустили демонстрационное видео, в котором подробно показали как можно использовать EvilProxy для создания и распространения фишинговых ссылок. С помощью этих ссылок можно собирать учетные данные клиентов Apple, Facebook*, Google, Instagram, Microsoft, Twitter и других крупных компаний.
Свои услуги EvilProxy предоставляет по подписке, перед этим клиенту придется пройти тщательную проверку. Функционал можно приобрести на 10, 20 или 30 дней, а также есть возможность выбрать жертву.
Кроме того, анализ функционала EvilProxy выявил, что сервис позволяет осуществлять фишинговые атаки на PyPI. По словам специалистов, эта возможность была добавлена в инструментарий незадолго до августовских атак , в ходе которых злоумышленники распространяли инфостилер JuiceStealer.
Эксперты считают, что EvilProxy будет использоваться хакерами против разработчиков ПО и IT-инженеров, чтобы получить доступ к их репозиториям и осуществлять атаки на цепочки поставок.
*Meta и все продукты компании признаны экстремистскими организациями; их деятельность в России запрещена.