Secondo i rapporti, un nuovo strumento di hacking può aggirare tutte le protezioni di sicurezza messe in atto per prevenire attacchi informatici e ottenere l'accesso ad alcuni dei siti Web più famosi al mondo.
L'operatore dietro lo strumento EvilProxy afferma che è in grado di rubare i token di autenticazione necessari per aggirare i sistemi di autenticazione a più fattori (MFA) utilizzati da Apple, Google, Facebook, Microsoft e Twitter.
Il servizio è particolarmente preoccupante perché promette di rendere disponibili questi attacchi a tutti gli hacker, anche quelli senza le competenze o le conoscenze precise per attaccare obiettivi così importanti.
Minaccia di phishing
Lo strumento è stato scoperto dalla società di sicurezza Resecurity (si apre in una nuova scheda), che rileva che EvilProxy (noto anche come Moloch) è una piattaforma di phishing come servizio (PaaS) per invertire il proxy pubblicizzato sul dark web.
Offre di rubare nomi utente, password e cookie di sessione, al costo di € 150 per dieci giorni, € 250 per 20 giorni o € 400 per una campagna di un mese, anche se gli attacchi contro gli attacchi di Google costeranno di più, a € 250 , rispettivamente € 450 e € 600.
I proxy inversi si trovano in genere tra un sito Web e una sorta di endpoint di autenticazione online, come una pagina di accesso. EvilProxy inganna le sue vittime usando esche di phishing, portandole a una pagina legittima in cui viene chiesto loro di inserire le credenziali di accesso e le informazioni MFA. Questi dati vengono quindi inviati al sito Web legittimo previsto, collegandolo e generando anche un cookie di sessione contenente un token di autenticazione, che viene inviato alla vittima.
Tuttavia, questo cookie e il token di autenticazione possono essere rubati dal proxy inverso che, come affermato, si trova tra l'utente e il sito Web legittimo. Gli aggressori possono quindi utilizzare questo token per accedere al sito fingendosi la loro vittima, evitando di dover reinserire le informazioni sul processo MFA.
Resecurity rileva che, a parte l'intelligence dell'attacco stesso, che è più facile da implementare rispetto ad altri attacchi man-in-the-middle (MITM), ciò che distingue EvilProxy è anche il suo approccio user-friendly. Dopo l'acquisto, i clienti ricevono video di istruzioni passo passo e tutorial su come utilizzare lo strumento, che ha un'interfaccia grafica pulita e aperta in cui gli utenti possono impostare e gestire le proprie campagne di phishing.
Offre anche una libreria di pagine di phishing clonate esistenti per i servizi Internet più diffusi, che con i nomi sopra menzionati includono GoDaddy, GitHub, Dropbox, Instagram, Yahoo e Yandex.
"Sebbene la vendita di EvilProxy richieda una verifica, i criminali informatici ora hanno una soluzione economica e scalabile per eseguire attacchi di phishing avanzati per compromettere i consumatori dei popolari servizi online abilitati MFA", ha osservato Resecurity.
"L'emergere di tali servizi nel dark web porterà a un aumento significativo dell'attività ATO/BEC e degli attacchi informatici mirati all'identità degli utenti finali, dove l'AMF può essere facilmente aggirato utilizzando strumenti come EvilProxy".
Tramite BleepingComputer (si apre in una nuova scheda)