ผู้เชี่ยวชาญจาก Resecurity รายงานเกี่ยวกับแคมเปญ Phishing-as-a-Service (PhaaS) ที่ใช้ชื่อว่า EvilProxy หรืออีกชื่อคือ Moloch โดยถูกพบครั้งแรกเมื่อต้นเดือนพฤษภาคม 2565 ซึ่งมีเป้าหมายคือการขโมย Token สำหรับ Bypass MFA (Multi-factor authentication) บนระบบ Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy, และ PyPI โดยแคมเปญนี้ใช้วิธีการ Reverse Proxy เพื่อหลีกเลี่ยง MFA ซึ่ง Reverse proxy จะเป็น Server ที่อยู่ระหว่างผู้ใช้งานกับ Server ปลายทางที่ถูกต้อง
ลักษณะการโจมตี
- เมื่อผู้ใช้งานเข้าสู่ไซต์ Phishing EvilProxy จะแสดงหน้า login ที่เป็นของเว็บไซต์ปลายทางจริง ซึ่งทำให้หากผู้ใช้งานมีการเรียกใช้งานเมนูต่าง ๆ บนไซต์ มันจะทำการส่งต่อ Request ที่ถูกเรียกไปยัง Server ปลายทางจริง และทำการ Return สิ่งที่ Server ปลายทางจริงตอบกลับไปยังผู้ใช้งาน
- เมื่อผู้ใช้งานกรอกข้อมูลประจำตัว และ MFA บนไซต์ Phishing แล้ว Request เหล่านี้ก็จะถูกส่งไปยัง Server ปลางทางตามปกติ เมื่อผู้ใช้งานเข้าสู่ระบบสำเร็จ Cookie Session นั้นจะถูกส่งกลับคืนมายังผู้ใช้งาน
- ระหว่างที่ Cookie Session ถูกส่งกลับคืนมายังผู้ใช้ EvilProxy จะทำการดักจับ Session ดังกล่าว และเปลี่ยนเส้นทางการใช้งานของผู้ใช้งานไปยังปลายทางอื่น โดยผู้โจมตีจะใช้ Cookie Session ที่ได้มานี้เพื่อลงชื่อเข้าใช้ไซต์ในฐานะผู้ใช้งานได้
- นอกจากนี้ EvilProxy ยังมีระบบ anti-analysis และ anti-bot เพื่อป้องกันนักวิจัยด้านความปลอดภัยวิเคราะห์พฤติกรรมของมันอีกด้วย
จากการตรวจสอบเพิ่มเติมจาก Resecurity พบว่า EvilProxy มี GUI ที่ใช้งานง่าย และมีหลายแพ็คเกจให้เลือกใช้งาน เช่น แพ็คเกจขโมย Cookie Session ราคาเริ่มต้นที่ 150 ดอลลาร์สำหรับ 10 วัน, 250 ดอลลาร์สำหรับ 20 วัน หรือ 400 ดอลลาร์สำหรับ 1 เดือน นอกจากนี้ยังมีฟังก์ชันอื่นๆ เช่น ขโมยบัญชี Google โดยราคาจะเพิ่มขึ้นตามฟังก์ชันที่เลือก ล่าสุดยังมีรายงานว่า EvilProxy ได้อัพโหลดวิดิโอสอนการใช้งานอย่างละเอียดให้กับลูกค้า ทำให้ผู้ไม่หวังดีที่ไม่มีทักษะก็สามารถโจมตีผู้อื่นได้เช่นกัน
IOC
ที่มา : resecurity , bleepingcomputer
You must be logged in to post a comment.