ผู้เชี่ยวชาญจาก Resecurity รายงานเกี่ยวกับแคมเปญ Phishing-as-a-Service (PhaaS) ที่ใช้ชื่อว่า EvilProxy หรืออีกชื่อคือ Moloch โดยถูกพบครั้งแรกเมื่อต้นเดือนพฤษภาคม 2565 ซึ่งมีเป้าหมายคือการขโมย Token สำหรับ Bypass MFA (Multi-factor authentication) บนระบบ Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy, และ PyPI โดยแคมเปญนี้ใช้วิธีการ Reverse Proxy เพื่อหลีกเลี่ยง MFA ซึ่ง Reverse proxy จะเป็น Server ที่อยู่ระหว่างผู้ใช้งานกับ Server ปลายทางที่ถูกต้อง

ลักษณะการโจมตี

เมื่อผู้ใช้งานเข้าสู่ไซต์ Phishing EvilProxy จะแสดงหน้า login ที่เป็นของเว็บไซต์ปลายทางจริง ซึ่งทำให้หากผู้ใช้งานมีการเรียกใช้งานเมนูต่าง ๆ บนไซต์ มันจะทำการส่งต่อ Request ที่ถูกเรียกไปยัง Server ปลายทางจริง และทำการ Return สิ่งที่ Server ปลายทางจริงตอบกลับไปยังผู้ใช้งาน
เมื่อผู้ใช้งานกรอกข้อมูลประจำตัว และ MFA บนไซต์ Phishing แล้ว Request เหล่านี้ก็จะถูกส่งไปยัง Server ปลางทางตามปกติ เมื่อผู้ใช้งานเข้าสู่ระบบสำเร็จ Cookie Session นั้นจะถูกส่งกลับคืนมายังผู้ใช้งาน
ระหว่างที่ Cookie Session ถูกส่งกลับคืนมายังผู้ใช้ EvilProxy จะทำการดักจับ Session ดังกล่าว และเปลี่ยนเส้นทางการใช้งานของผู้ใช้งานไปยังปลายทางอื่น โดยผู้โจมตีจะใช้ Cookie Session ที่ได้มานี้เพื่อลงชื่อเข้าใช้ไซต์ในฐานะผู้ใช้งานได้

นอกจากนี้ EvilProxy ยังมีระบบ anti-analysis และ anti-bot เพื่อป้องกันนักวิจัยด้านความปลอดภัยวิเคราะห์พฤติกรรมของมันอีกด้วย

จากการตรวจสอบเพิ่มเติมจาก Resecurity พบว่า EvilProxy มี GUI ที่ใช้งานง่าย และมีหลายแพ็คเกจให้เลือกใช้งาน เช่น แพ็คเกจขโมย Cookie Session ราคาเริ่มต้นที่ 150 ดอลลาร์สำหรับ 10 วัน, 250 ดอลลาร์สำหรับ 20 วัน หรือ 400 ดอลลาร์สำหรับ 1 เดือน นอกจากนี้ยังมีฟังก์ชันอื่นๆ เช่น ขโมยบัญชี Google โดยราคาจะเพิ่มขึ้นตามฟังก์ชันที่เลือก ล่าสุดยังมีรายงานว่า EvilProxy ได้อัพโหลดวิดิโอสอนการใช้งานอย่างละเอียดให้กับลูกค้า ทำให้ผู้ไม่หวังดีที่ไม่มีทักษะก็สามารถโจมตีผู้อื่นได้เช่นกัน

IOC

ที่มา : resecurity , bleepingcomputer