EvilProxy là một nền tảng Lừa đảo dưới dạng Dịch vụ - PaaS, được phát hiện lần đầu tiên vào tháng 5/2022, khi các tin tặc phát triển công cụ này đã phát hành một video hướng dẫn chi tiết cách sử dụng công cụ để cung cấp các liên kết giả mạo, với mục tiêu là vượt qua các biện pháp bảo vệ MFA và xâm phạm tài khoản người dùng trên các ứng dụng phổ biến như: Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Micosoft, Twitter, Yahoo, Yandex. Một điều vô cùng nguy hiểm với EvilProxy đó là ngay cả khi những người không có kỹ năng cần thiết vẫn có thể tiến hành các chiến dịch tấn công nhắm vào các trang mạng xã hội khác nhau.
Cách thức hoạt động
EvilProxy sử dụng Reverse Proxy để tiến hành tấn công. Theo đó, tin tặc sẽ gửi một liên kết giả mạo để đưa người dùng đến một trang lừa đảo và yêu cầu họ cung cấp thông tin trên các biểu mẫu đăng nhập, dữ liệu thu thập được sẽ được gửi đến trang web hợp pháp, đăng nhập cho người dùng. Đồng thời cũng tạo ra một phiên cookie chứa mã xác thực thông báo, mã này sẽ được gửi tới người dùng.
Tuy nhiên, vì Reverse Proxy đứng giữa người dùng và trang web hợp pháp nên tin tặc có thể đánh cắp phiên cookie chứa mã thông báo xác thực. Sau đó, tin tặc có thể sử dụng cookie xác thực này để đăng nhập vào các dịch vụ với tư cách là người dùng, bằng cách này mà các tin tặc đã vượt qua được các biện pháp MFA đã được thiết lập sẵn.
Cách thức hoạt động của EvilProxy
Resecurity cho biết việc sử dụng EvilProxy rất đơn giản vì có các video hướng dẫn chi tiết công cụ này với giao diện trực quan, dễ sử dụng và thân thiện với người dùng, cùng với có nhiều lựa chọn các trang web giả mạo được thiết kế giống các dịch vụ Internet phổ biến hiện nay, do vậy tin tặc có thể thiết lập và quản lý, theo dõi các chiến dịch tấn công giả mạo để đánh cắp thông tin như: tên người dùng, mật khẩu và phiên cookie.
.png)
Giao diện của EvilProxy
Hiện tại, công cụ này đang được rao bán với chi phí 150 USD trong 10 ngày, 250 USD trong 20 ngày và 400 USD cho chiến dịch tấn công trong vòng một tháng. Trong khi đó, các cuộc tấn công vào tài khoản Google sẽ có giá cao hơn, dao động từ 250 USD đến 600 USD.
Chi phí rao bán công cụ EvilProxy
EvilProxy đang được quảng bá tích cực trên các diễn đàn tin tặc và web đen (dark web). Việc thanh toán với EvilProxy được thực hiện thủ công thông qua một nhà điều hành trên ứng dụng nhắn tin Telegram. Khi bên cho thuê dịch vụ nhận được tiền, các tin tặc sẽ có quyền truy cập dịch vụ được lưu trữ trong mạng Tor.
EvilProxy được quảng cáo trên các diễn đàn tin tặc
Khi việc áp dụng MFA cho các tài khoản người dùng trực tuyến gần như là bắt buộc, nhiều tin tặc chuyển sang các công cụ Reverse Proxy và dịch vụ tấn công có sẵn đang là thách thức lớn cho các chuyên gia bảo mật và quản trị mạng. Người dùng trực tuyến cần cảnh giác hơn đối với các cuộc tấn công kỹ nghệ xã hội của tin tặc nhằm mục đích đưa đến các URL giả mạo, bí mật thu thập thông tin của người dùng.
Trần Nam
(resecurity.com)
10:00 | 10/08/2022
16:00 | 16/12/2022
15:00 | 26/05/2023
15:00 | 30/08/2022
10:00 | 18/01/2023
10:00 | 22/09/2023
12:00 | 25/08/2022
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
