EvilProxy - 2FA'yı Atlamak için Darkweb Üzerinden Kimlik Avı Hizmeti Olarak Reklam Verme

Son zamanlarda, tersine proxy hizmetleri sunan EvilProxy adlı bir PaaS (Hizmet Olarak Kimlik Avı) platformu piyasada ortaya çıktı ve Resecurity güvenlik firması tarafından tanımlandı.

Bu yeni ortaya çıkan hizmetten yararlanarak tehdit aktörleri, çalınan kimlik doğrulama belirteçlerinin yardımıyla aşağıdaki platformlarda MFA'yı atlayabilir:

• Apple
• Google
• Facebook
• Microsoft
• Twitter
• GitHub
• GoDaddy
• PyPI

Teknik Analiz

İyi korunan çevrimiçi hesaplara, bu hizmeti kullanan acemi tehdit aktörleri tarafından erişilebilir. Ters proxy saldırıları sırasında, sunucular meşru bir kimlik doğrulama uç noktası ile hedeflenen kurban arasında konumlandırılır.

Ters proxy sunucuları, kimlik avı saldırılarına, iletme isteklerine yanıt olarak gerçek oturum açma formlarını görüntüler ve bir kurban bir kimlik avı sayfasına bağlandığında şirketin sunucularından gelen yanıtları döndürür.

Rapora göre, kurban daha sonra kimlik bilgilerini ve MFA'sını kimlik avı sayfasına girdiğinde gerçek platformun sunucusuna yönlendirilecek. Oturum açtıktan sonra, bir oturum çerezi döndürülür ve kullanıcı hesaba erişebilir.

Bu şekilde, tehdit aktörü bu kimlik doğrulama çerezini kullanarak kullanıcının kimliğiyle siteye giriş yapma olanağına sahip olur. Bunun amacı, yapılandırılan çok faktörlü kimlik doğrulama korumalarını atlamaktır.

Bazı durumlarda, aktörler ihtiyaçlarına göre uyarlanmış kendi özel araçlarını kullanıyorlar. Geri kalanına gelince, çok daha hızlı bir şekilde konuşlandırılabilen kitler kullanıyorlar, örneğin:

• Modlishka
• Necrobrowser
• Evilginx2

EvilProxy

Son derece kullanıcı dostu bir GUI sunmanın yanı sıra, EvilProxy ayrıca tehdit aktörlerinin kimlik avı kampanyalarını ve ayrıntılı tekniklerini kurmalarına ve yönetmelerine yardımcı olan bir dizi özellik sunar.

Hizmetten yararlanmak için, kullanıcı kullanıcı adlarını, şifreleri ve oturum çerezlerini çalma fırsatı için aşağıdaki fiyatları ödemek zorunda kalacaktır. Aşağıda fiyat listesinden bahsettik:

• $150: 10 günlük
• $250: 20 günlük
• $400: Bir aylık

Google hesaplarına yönelik saldırılarla ilişkili maliyetlere gelince, bunlar daha yüksekti ve burada fiyatı aşağıda listeledik:

• $250
• $450
• $600

Çeşitli clearnet ve dark web hacking forumlarında, operatörler bu hizmeti potansiyel müşterilere aktif olarak tanıtıyorlar. Potansiyel alıcıların bazılarının, müşterileri inceledikleri için operatörler tarafından reddedilmesi muhtemeldir.

Telegram'daki hizmet için önceden yapılması gereken bireysel bir ödeme düzenlemesi vardır. Müşteri, ödeme ağ geçidi üzerinden ödeme yaptıktan sonra TOR tarafından barındırılan portala erişebilir.

EvilProxy portalında, EvilProxy hizmetinin kurulumu ve kullanımıyla ilgili çok çeşitli konuları kapsayan birkaç öğretici ve etkileşimli video vardır.

EvilProxy ve diğer benzer platformlar gibi platformları kullanarak, düşük vasıflı tehdit aktörleri uygun maliyetli bir yöntemle değerli hesapları çalabilirler. Bu, beceri boşluğunu bunun gibi hizmetlerle kapatmanın iyi bir örneğidir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.