EvilProxy - công cụ tấn công mới cho phép tin tặc vượt qua xác thực đa yếu tố

07:00 | 15/09/2022 | HACKER / MALWARE

Vừa qua, các nhà nghiên cứu tại công ty bảo mật Resecurity đã phát hiện một nền tảng PaaS (Phishing-as-a-Service) được gọi là “EvilProxy” (còn được gọi là Moloch), đang được các tin tặc sử dụng như một công cụ để đánh cắp mã xác thực thông báo nhằm vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA) trên các ứng dụng phổ biến như Apple, Google, Facebook,...

EvilProxy là một nền tảng Lừa đảo dưới dạng Dịch vụ - PaaS, được phát hiện lần đầu tiên vào tháng 5/2022, khi các tin tặc phát triển công cụ này đã phát hành một video hướng dẫn chi tiết cách sử dụng công cụ để cung cấp các liên kết giả mạo, với mục tiêu là vượt qua các biện pháp bảo vệ MFA và xâm phạm tài khoản người dùng trên các ứng dụng phổ biến như: Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Micosoft, Twitter, Yahoo, Yandex. Một điều vô cùng nguy hiểm với EvilProxy đó là ngay cả khi những người không có kỹ năng cần thiết vẫn có thể tiến hành các chiến dịch tấn công nhắm vào các trang mạng xã hội khác nhau.

Cách thức hoạt động

EvilProxy sử dụng Reverse Proxy để tiến hành tấn công. Theo đó, tin tặc sẽ gửi một liên kết giả mạo để đưa người dùng đến một trang lừa đảo và yêu cầu họ cung cấp thông tin trên các biểu mẫu đăng nhập, dữ liệu thu thập được sẽ được gửi đến trang web hợp pháp, đăng nhập cho người dùng. Đồng thời cũng tạo ra một phiên cookie chứa mã xác thực thông báo, mã này sẽ được gửi tới người dùng.

Tuy nhiên, vì Reverse Proxy đứng giữa người dùng và trang web hợp pháp nên tin tặc có thể đánh cắp phiên cookie chứa mã thông báo xác thực. Sau đó, tin tặc có thể sử dụng cookie xác thực này để đăng nhập vào các dịch vụ với tư cách là người dùng, bằng cách này mà các tin tặc đã vượt qua được các biện pháp MFA đã được thiết lập sẵn.

EvilProxy - công cụ tấn công mới cho phép tin tặc vượt qua xác thực đa yếu tố

Cách thức hoạt động của EvilProxy

Resecurity cho biết việc sử dụng EvilProxy rất đơn giản vì có các video hướng dẫn chi tiết công cụ này với giao diện trực quan, dễ sử dụng và thân thiện với người dùng, cùng với có nhiều lựa chọn các trang web giả mạo được thiết kế giống các dịch vụ Internet phổ biến hiện nay, do vậy tin tặc có thể thiết lập và quản lý, theo dõi các chiến dịch tấn công giả mạo để đánh cắp thông tin như: tên người dùng, mật khẩu và phiên cookie.

Giao diện của EvilProxy

Hiện tại, công cụ này đang được rao bán với chi phí 150 USD trong 10 ngày, 250 USD trong 20 ngày và 400 USD cho chiến dịch tấn công trong vòng một tháng. Trong khi đó, các cuộc tấn công vào tài khoản Google sẽ có giá cao hơn, dao động từ 250 USD đến 600 USD.

Chi phí rao bán công cụ EvilProxy

EvilProxy đang được quảng bá tích cực trên các diễn đàn tin tặc và web đen (dark web). Việc thanh toán với EvilProxy được thực hiện thủ công thông qua một nhà điều hành trên ứng dụng nhắn tin Telegram. Khi bên cho thuê dịch vụ nhận được tiền, các tin tặc sẽ có quyền truy cập dịch vụ được lưu trữ trong mạng Tor.

EvilProxy được quảng cáo trên các diễn đàn tin tặc

Khi việc áp dụng MFA cho các tài khoản người dùng trực tuyến gần như là bắt buộc, nhiều tin tặc chuyển sang các công cụ Reverse Proxy và dịch vụ tấn công có sẵn đang là thách thức lớn cho các chuyên gia bảo mật và quản trị mạng. Người dùng trực tuyến cần cảnh giác hơn đối với các cuộc tấn công kỹ nghệ xã hội của tin tặc nhằm mục đích đưa đến các URL giả mạo, bí mật thu thập thông tin của người dùng.

Trần Nam

(resecurity.com)

‹ › ×

Tin liên quan

Công cụ tìm kiếm của Google gặp sự cố ngừng hoạt động trên diện rộng

10:00 | 10/08/2022

Vào khoảng 8h30 sáng ngày 9/8, một sự cố đã xảy ra với Google khiến công cụ tìm kiếm của hãng này gặp trục trặc. Số liệu từ trang DownDetector cho thấy, website này nhận được một lượng lớn phản ánh của người dùng về những sự cố gặp phải với Google.

Phương pháp tấn công mới có thể vượt qua một số tường lửa ứng dụng web phổ biến

16:00 | 16/12/2022

Các nhà nghiên cứu tại công ty an ninh mạng Claroty đã xác định được một phương pháp tấn công mới có thể được sử dụng để vượt qua tường lửa ứng dụng web (WAF) của một số nhà cung cấp khác nhau và xâm nhập vào hệ thống, từ đó cho phép tin tặc giành quyền truy cập vào những thông tin dữ liệu nhạy cảm.

Một số phương pháp bảo mật API hiệu quả cho tổ chức/doanh nghiệp

15:00 | 26/05/2023

Ngày nay, trong quy trình xem xét, đánh giá và phân bổ nguồn lực của các tổ chức/doanh nghiệp, bảo mật dữ liệu vẫn được coi là ưu tiên hàng đầu. Tuy nhiên, nhiều tổ chức/doanh nghiệp vẫn phải đối mặt với nhiều hơn những mối đe dọa từ các sự cố an ninh mạng mà họ lường trước.

Phần mềm quản lý mật khẩu LastPass bị tin tặc tấn công

15:00 | 30/08/2022

Mới đây, ứng dụng quản lý mật khẩu LastPass cho biết một phần mã nguồn và dữ liệu kỹ thuật nội bộ đã bị đánh cắp cách đây 2 tuần sau khi tin tặc đột nhập hệ thống. May mắn, mật khẩu của người dùng không bị tấn công.

Tin tặc sử dụng chiến thuật vượt qua xác thực CAPTCHA trong chiến dịch Freejacking trên GitHub

10:00 | 18/01/2023

Một tác nhân đe dọa đến từ Nam Phi có tên là “Automated Libra” đã được phát hiện đang sử dụng các kỹ thuật vượt qua xác thực CAPTCHA để tạo một số lượng lớn tài khoản GitHub, các kỹ thuật này được lập trình như một phần của chiến dịch Freejacking có tên gọi là “PURPLEURCHIN”, với mục đích khai thác tiền điện tử trên các nền tảng đám mây.

Giải pháp ngăn chặn lưu lượng BOT độc hại truy cập Internet

10:00 | 22/09/2023

Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.

Nhóm tin tặc Iron Tiger tấn công chuỗi cung ứng để triển khai phần mềm độc hại

12:00 | 25/08/2022

Theo báo cáo của Trend Micro, nhóm tin tặc có liên quan đến Trung Quốc, Iron Tiger đã sử dụng các máy chủ bị xâm nhập của một ứng dụng trò chuyện để phân phối phần mềm độc hại tới các hệ thống Windows và macOS.

Tin cùng chuyên mục

Tội phạm mạng sử dụng AI để phát tán phần mềm độc hại trong các chiến dịch lừa đảo trên mạng xã hội

10:00 | 22/04/2024

Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Lỗ hổng trong camera của Wyze cho phép người dùng có thể xem video từ các ngôi nhà khác

10:00 | 04/03/2024

Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.

Kho lưu trữ PyPI phân phối phần mềm độc hại WhiteSnake

08:00 | 10/02/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.