EvilProxy è un kit phishing-as-a -service ed è stato rilevato per la prima volta dalla società di sicurezza informatica Resecurity a settembre 2022.
Questo kit ha la capacità di pianificare e eseguire attacchi di phishing con funzionalità di proxy inverso che consentono di rubare credenziali e aggirare l’autenticazione a due fattori (2FA) mediante l’uso di tecniche adversary-in-the-middle (attacco informatico in cui un aggressore intercetta e manipola la comunicazione tra due parti senza che esse se ne accorgano).

evilproxy phishing

Gli attaccanti reindirizzano gli utenti su una pagina di phishing e utilizzano il proxy inverso per recuperare tutti i contenuti validi dal sito. EvilProxy monitora il traffico web e intercetta informazioni importanti come le credenziali di accesso o addirittura i numeri di carta di credito. Durante il ritorno, quando la risposta viene inviata dal sito web del cliente all’utente, gli attaccanti riscrivono l’URL del sito.

Questo significa che in realtà non stanno ospitando un sito web, ma solo un server proxy.

Come avviene l’attacco?

EvilProxy è un potente framework di attacco adversary in the middle (AiTM) che viene offerto come un servizio economico e facile da usare.

Gli attaccanti ricorrono a questo servizio per creare email di phishing mirate che includono link a siti web di phishing personalizzati, progettati per assomigliare a pagine di accesso legittime per servizi come Google Workspace e Microsoft 365.

Questi siti web di phishing quindi vengono generati con l’unico obiettivo di reindirizzare il traffico a siti di accesso illegittimi, consentendo all’attaccante di intercettare:

  • le credenziali dell’utente
  • i cookie di sessione validi
  • intromettersi efficacemente nel mezzo del processo di autenticazione multi fattore (MFA).

L’accesso ai cookie di sessione validi consente loro anche di accedere continuamente a servizi come Microsoft Exchange Online senza la necessità di autenticarsi di nuovo.

Questo framework di attacco proxy non è una nuova tecnica: attaccanti in passato hanno precedentemente utilizzato strumenti come Modlishka, Necrobrowser ed Evilginx per aggirare le protezioni MFA sin dal 2018.

Tuttavia, EvilProxy si differenzia da questi framework precedenti, poiché è molto più facile da configurare, fornisce una ricca formazione (compresa di video didattici), ha un’interfaccia grafica utente intuitiva e offre una libreria molto più ampia di siti web di phishing falsi per piattaforme ben note come Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, Twitter, Yahoo e Yandex.

Si prevede che la domanda di questi strumenti di proxy inverso user-friendly continuerà a crescere man mano che l’autenticazione multi-fattore si diffonderà sempre di più.

evilproxy attack example

Il caso studio: l’attacco a Microsoft

Una recente campagna di phishing ha preso di mira gli account Microsoft 365 di dirigenti chiave dell’organizzazioni con sede negli Stati Uniti, sfruttando i reindirizzamenti aperti dal sito web di Indeed per le offerte di lavoro.

L’attaccante ha utilizzato il servizio di phishing EvilProxy che può raccogliere i cookie di sessione, con lo scopo di utilizzarli per bypassare i meccanismi di autenticazione multi-fattore (MFA).

Gli analisti di cyber sicurezza affermano che i bersagli di questa campagna di phishing sono:

  • dirigenti
  • dipendenti di alto livello di varie industrie

tra cui manifattura elettronica, banche e finanza, immobiliare, assicurazioni e gestione immobiliare.

I reindirizzamenti sono URL legittimi che portano automaticamente i visitatori in un’altra posizione online, tipicamente un sito web di terze parti.
I reindirizzamenti aperti sono debolezze nel codice del sito web che consentono di creare ulteriori reindirizzamenti verso posizioni arbitrarie, che gli attaccanti hanno utilizzato per spingere l’utente verso una pagina di phishing.

Poiché il link proviene da una fonte affidabile, può eludere le misure di sicurezza dell’email o essere promosso nei risultati di ricerca senza destare sospetti.
Gli attaccanti hanno quindi sfruttato un reindirizzamento aperto su indeed.com, il sito americano per le offerte di lavoro.

Le vittime ricevono email con un link di indeed.com che sembra legittimo. Quando viene effettuato l’accesso, l’URL porta l’utente a un sito di phishing che agisce come un proxy inverso per la pagina di accesso di Microsoft.

Quando l’utente accede al proprio account tramite questo server di phishing, che imita la pagina di accesso autentica, l’attaccante può estrapolare i cookie di autenticazione con facilità. Poiché gli utenti hanno già completato i passaggi MFA (autenticazione multifattore) richiesti durante l’accesso, i cookie acquisiti danno ai criminali informatici pieno accesso all’account della vittima.

Ci sono diverse prove dall’attacco che rendono più sicura l’attribuzione a EvilProxy, come ad esempio l’utilizzo di percorsi URI specifici precedentemente collegati al servizio e l’uso della libreria FingerprintJS per il rilevamento delle impronte digitali del browser.

Nell’agosto 2023, Proofpoint ha rilevato di un’altra campagna EvilProxy, che ha inviato circa 120.000 email di phishing a centinaia di organizzazioni, mirando agli account Microsoft 365 dei loro dipendenti.

Purtroppo, l’uso di kit di reverse proxy per il phishing è in aumento e il loro abbinamento con reindirizzamenti aperti aumenta il successo di una campagna malevola.

Come arginare questi attacchi?

Per difendersi dagli attacchi di EvilProxy, le organizzazioni devono integrare le loro tradizionali protezioni MFA con una varietà di diverse misure di sicurezza.

Questa minaccia potrebbe continuare a rappresentare un significativo problema anche dopo aver implementato tutte le contromisure sotto descritte.
I modi migliori per difendersi dagli attacchi di EvilProxy sono i seguenti:

  • Implementare l’accesso condizionale tramite la licenza Microsoft Office per l’email (in modo da limitare l’accesso a dispositivi specifici).
  • Configurare la conformità di Microsoft Intune per negare l’accesso a dispositivi non attendibili (o configurare una tale politica in una piattaforma di gestione dei dispositivi mobili equivalente)
  • Metodi di autenticazione senza password
  • Utilizzo di metodi MFA con token hardware

Una difesa aggiuntiva robusta è limitare la connettività a range IP e località geografiche attendibili.
Tuttavia, il blocco geografico degli IP può essere facile da eludere per gli attaccanti che utilizzano servizi VPN.

Sicurezza delle email

Le organizzazioni dovrebbero anche investire in soluzioni software avanzate che monitorano e scansionano le email in arrivo per siti web malevoli, inclusi quelli utilizzati nelle campagne di phishing di EvilProxy.

Campagne di sensibilizzazione al phishing

Come sempre, è importante che le organizzazioni eseguano regolari campagne di sensibilizzazione al phishing per aumentare la probabilità che i dipendenti individuino i link malevoli prima di aprirli e sappiano come segnalarli al team di sicurezza.

L’esperienza dimostra che queste campagne di sensibilizzazione sono efficaci e una costante consapevolezza e formazione rappresentano una difesa critica di prima linea.