EvilProxy - công cụ tấn công mới cho phép tin tặc vượt qua xác thực đa yếu tố

07:00 | 15/09/2022 | HACKER / MALWARE

Vừa qua, các nhà nghiên cứu tại công ty bảo mật Resecurity đã phát hiện một nền tảng PaaS (Phishing-as-a-Service) được gọi là “EvilProxy” (còn được gọi là Moloch), đang được các tin tặc sử dụng như một công cụ để đánh cắp mã xác thực thông báo nhằm vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA) trên các ứng dụng phổ biến như Apple, Google, Facebook,...

EvilProxy là một nền tảng Lừa đảo dưới dạng Dịch vụ - PaaS, được phát hiện lần đầu tiên vào tháng 5/2022, khi các tin tặc phát triển công cụ này đã phát hành một video hướng dẫn chi tiết cách sử dụng công cụ để cung cấp các liên kết giả mạo, với mục tiêu là vượt qua các biện pháp bảo vệ MFA và xâm phạm tài khoản người dùng trên các ứng dụng phổ biến như: Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Micosoft, Twitter, Yahoo, Yandex. Một điều vô cùng nguy hiểm với EvilProxy đó là ngay cả khi những người không có kỹ năng cần thiết vẫn có thể tiến hành các chiến dịch tấn công nhắm vào các trang mạng xã hội khác nhau.

Cách thức hoạt động

EvilProxy sử dụng Reverse Proxy để tiến hành tấn công. Theo đó, tin tặc sẽ gửi một liên kết giả mạo để đưa người dùng đến một trang lừa đảo và yêu cầu họ cung cấp thông tin trên các biểu mẫu đăng nhập, dữ liệu thu thập được sẽ được gửi đến trang web hợp pháp, đăng nhập cho người dùng. Đồng thời cũng tạo ra một phiên cookie chứa mã xác thực thông báo, mã này sẽ được gửi tới người dùng.

Tuy nhiên, vì Reverse Proxy đứng giữa người dùng và trang web hợp pháp nên tin tặc có thể đánh cắp phiên cookie chứa mã thông báo xác thực. Sau đó, tin tặc có thể sử dụng cookie xác thực này để đăng nhập vào các dịch vụ với tư cách là người dùng, bằng cách này mà các tin tặc đã vượt qua được các biện pháp MFA đã được thiết lập sẵn.

EvilProxy - công cụ tấn công mới cho phép tin tặc vượt qua xác thực đa yếu tố

Cách thức hoạt động của EvilProxy

Resecurity cho biết việc sử dụng EvilProxy rất đơn giản vì có các video hướng dẫn chi tiết công cụ này với giao diện trực quan, dễ sử dụng và thân thiện với người dùng, cùng với có nhiều lựa chọn các trang web giả mạo được thiết kế giống các dịch vụ Internet phổ biến hiện nay, do vậy tin tặc có thể thiết lập và quản lý, theo dõi các chiến dịch tấn công giả mạo để đánh cắp thông tin như: tên người dùng, mật khẩu và phiên cookie.

Giao diện của EvilProxy

Hiện tại, công cụ này đang được rao bán với chi phí 150 USD trong 10 ngày, 250 USD trong 20 ngày và 400 USD cho chiến dịch tấn công trong vòng một tháng. Trong khi đó, các cuộc tấn công vào tài khoản Google sẽ có giá cao hơn, dao động từ 250 USD đến 600 USD.

Chi phí rao bán công cụ EvilProxy

EvilProxy đang được quảng bá tích cực trên các diễn đàn tin tặc và web đen (dark web). Việc thanh toán với EvilProxy được thực hiện thủ công thông qua một nhà điều hành trên ứng dụng nhắn tin Telegram. Khi bên cho thuê dịch vụ nhận được tiền, các tin tặc sẽ có quyền truy cập dịch vụ được lưu trữ trong mạng Tor.

EvilProxy được quảng cáo trên các diễn đàn tin tặc

Khi việc áp dụng MFA cho các tài khoản người dùng trực tuyến gần như là bắt buộc, nhiều tin tặc chuyển sang các công cụ Reverse Proxy và dịch vụ tấn công có sẵn đang là thách thức lớn cho các chuyên gia bảo mật và quản trị mạng. Người dùng trực tuyến cần cảnh giác hơn đối với các cuộc tấn công kỹ nghệ xã hội của tin tặc nhằm mục đích đưa đến các URL giả mạo, bí mật thu thập thông tin của người dùng.

Trần Nam

(resecurity.com)

‹ › ×

Tin liên quan

Công cụ tìm kiếm của Google gặp sự cố ngừng hoạt động trên diện rộng

10:00 | 10/08/2022

Vào khoảng 8h30 sáng ngày 9/8, một sự cố đã xảy ra với Google khiến công cụ tìm kiếm của hãng này gặp trục trặc. Số liệu từ trang DownDetector cho thấy, website này nhận được một lượng lớn phản ánh của người dùng về những sự cố gặp phải với Google.

Phương pháp tấn công mới có thể vượt qua một số tường lửa ứng dụng web phổ biến

16:00 | 16/12/2022

Các nhà nghiên cứu tại công ty an ninh mạng Claroty đã xác định được một phương pháp tấn công mới có thể được sử dụng để vượt qua tường lửa ứng dụng web (WAF) của một số nhà cung cấp khác nhau và xâm nhập vào hệ thống, từ đó cho phép tin tặc giành quyền truy cập vào những thông tin dữ liệu nhạy cảm.

Một số phương pháp bảo mật API hiệu quả cho tổ chức/doanh nghiệp

15:00 | 26/05/2023

Ngày nay, trong quy trình xem xét, đánh giá và phân bổ nguồn lực của các tổ chức/doanh nghiệp, bảo mật dữ liệu vẫn được coi là ưu tiên hàng đầu. Tuy nhiên, nhiều tổ chức/doanh nghiệp vẫn phải đối mặt với nhiều hơn những mối đe dọa từ các sự cố an ninh mạng mà họ lường trước.

Phần mềm quản lý mật khẩu LastPass bị tin tặc tấn công

15:00 | 30/08/2022

Mới đây, ứng dụng quản lý mật khẩu LastPass cho biết một phần mã nguồn và dữ liệu kỹ thuật nội bộ đã bị đánh cắp cách đây 2 tuần sau khi tin tặc đột nhập hệ thống. May mắn, mật khẩu của người dùng không bị tấn công.

Tin tặc sử dụng chiến thuật vượt qua xác thực CAPTCHA trong chiến dịch Freejacking trên GitHub

10:00 | 18/01/2023

Một tác nhân đe dọa đến từ Nam Phi có tên là “Automated Libra” đã được phát hiện đang sử dụng các kỹ thuật vượt qua xác thực CAPTCHA để tạo một số lượng lớn tài khoản GitHub, các kỹ thuật này được lập trình như một phần của chiến dịch Freejacking có tên gọi là “PURPLEURCHIN”, với mục đích khai thác tiền điện tử trên các nền tảng đám mây.

Giải pháp ngăn chặn lưu lượng BOT độc hại truy cập Internet

10:00 | 22/09/2023

Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.

Nhóm tin tặc Iron Tiger tấn công chuỗi cung ứng để triển khai phần mềm độc hại

12:00 | 25/08/2022

Theo báo cáo của Trend Micro, nhóm tin tặc có liên quan đến Trung Quốc, Iron Tiger đã sử dụng các máy chủ bị xâm nhập của một ứng dụng trò chuyện để phân phối phần mềm độc hại tới các hệ thống Windows và macOS.

Tin cùng chuyên mục

Phát hiện Trojan Android mới đánh cắp tài khoản ngân hàng tại Việt Nam

15:00 | 26/10/2023

Công ty an ninh mạng Group-IB vừa qua đã đưa ra cảnh báo về loại Trojan Android mới, được thiết kế để bí mật thu thập thông tin người dùng, bao gồm xác thực ứng dụng ngân hàng nhằm chiếm đoạt tài khoản.

Chiến dịch gián điệp mạng sử dụng mã độc RDStealer đánh cắp dữ liệu chia sẻ trên Remote Desktop

10:00 | 10/07/2023

Vừa qua, theo báo cáo từ công ty an ninh mạng Bitderfender (Romani) cho biết, một chiến dịch tấn công gián điệp mạng có chủ đích sử dụng mã độc mới được viết bằng ngôn ngữ lập trình Golang có tên là “RDStealer” đã được các tin tặc thực hiện nhằm đánh cắp dữ liệu từ các ổ đĩa được chia sẻ thông qua ứng dụng kết nối từ xa Remote Desktop Protocol (RDP).

Tin tặc Ukraine thực hiện tấn công mạng quy mô lớn nhắm vào Tập đoàn Đường sắt Nga

10:00 | 07/07/2023

Ngày 5/7, Tập đoàn Đường sắt Nga (RZD) thông báo trên kênh Telegram rằng hệ thống trang web và ứng dụng di động của họ đã tạm thời bị gián đoạn ít nhất sáu giờ sau một cuộc tấn công mạng diễn ra trên quy mô lớn, được thực hiện bởi các tin tặc đến từ Ukraine, dẫn đến việc hành khách chỉ có thể mua vé trực tiếp tại các nhà ga.

Cảnh báo mã độc mới SpectralViper nhắm mục tiêu tấn công tại Việt Nam

14:00 | 21/06/2023

Các tổ chức, doanh nghiệp tại Việt Nam hiện đang là mục tiêu của chiến dịch tấn công mạng đang diễn ra nhằm triển khai backdoor mới có tên là “SpectralViper” dựa trên lỗ hổng SMB. Chiến dịch này được các nhà nghiên cứu tại Công ty an ninh mạng Elastic Security Labs (Singapore) phát hiện và theo dõi từ vài tháng trước.