EvilProxy - công cụ tấn công mới cho phép tin tặc vượt qua xác thực đa yếu tố

07:00 | 15/09/2022 | HACKER / MALWARE

Vừa qua, các nhà nghiên cứu tại công ty bảo mật Resecurity đã phát hiện một nền tảng PaaS (Phishing-as-a-Service) được gọi là “EvilProxy” (còn được gọi là Moloch), đang được các tin tặc sử dụng như một công cụ để đánh cắp mã xác thực thông báo nhằm vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA) trên các ứng dụng phổ biến như Apple, Google, Facebook,...

EvilProxy là một nền tảng Lừa đảo dưới dạng Dịch vụ - PaaS, được phát hiện lần đầu tiên vào tháng 5/2022, khi các tin tặc phát triển công cụ này đã phát hành một video hướng dẫn chi tiết cách sử dụng công cụ để cung cấp các liên kết giả mạo, với mục tiêu là vượt qua các biện pháp bảo vệ MFA và xâm phạm tài khoản người dùng trên các ứng dụng phổ biến như: Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Micosoft, Twitter, Yahoo, Yandex. Một điều vô cùng nguy hiểm với EvilProxy đó là ngay cả khi những người không có kỹ năng cần thiết vẫn có thể tiến hành các chiến dịch tấn công nhắm vào các trang mạng xã hội khác nhau.

Cách thức hoạt động

EvilProxy sử dụng Reverse Proxy để tiến hành tấn công. Theo đó, tin tặc sẽ gửi một liên kết giả mạo để đưa người dùng đến một trang lừa đảo và yêu cầu họ cung cấp thông tin trên các biểu mẫu đăng nhập, dữ liệu thu thập được sẽ được gửi đến trang web hợp pháp, đăng nhập cho người dùng. Đồng thời cũng tạo ra một phiên cookie chứa mã xác thực thông báo, mã này sẽ được gửi tới người dùng.

Tuy nhiên, vì Reverse Proxy đứng giữa người dùng và trang web hợp pháp nên tin tặc có thể đánh cắp phiên cookie chứa mã thông báo xác thực. Sau đó, tin tặc có thể sử dụng cookie xác thực này để đăng nhập vào các dịch vụ với tư cách là người dùng, bằng cách này mà các tin tặc đã vượt qua được các biện pháp MFA đã được thiết lập sẵn.

EvilProxy - công cụ tấn công mới cho phép tin tặc vượt qua xác thực đa yếu tố

Cách thức hoạt động của EvilProxy

Resecurity cho biết việc sử dụng EvilProxy rất đơn giản vì có các video hướng dẫn chi tiết công cụ này với giao diện trực quan, dễ sử dụng và thân thiện với người dùng, cùng với có nhiều lựa chọn các trang web giả mạo được thiết kế giống các dịch vụ Internet phổ biến hiện nay, do vậy tin tặc có thể thiết lập và quản lý, theo dõi các chiến dịch tấn công giả mạo để đánh cắp thông tin như: tên người dùng, mật khẩu và phiên cookie.

Giao diện của EvilProxy

Hiện tại, công cụ này đang được rao bán với chi phí 150 USD trong 10 ngày, 250 USD trong 20 ngày và 400 USD cho chiến dịch tấn công trong vòng một tháng. Trong khi đó, các cuộc tấn công vào tài khoản Google sẽ có giá cao hơn, dao động từ 250 USD đến 600 USD.

Chi phí rao bán công cụ EvilProxy

EvilProxy đang được quảng bá tích cực trên các diễn đàn tin tặc và web đen (dark web). Việc thanh toán với EvilProxy được thực hiện thủ công thông qua một nhà điều hành trên ứng dụng nhắn tin Telegram. Khi bên cho thuê dịch vụ nhận được tiền, các tin tặc sẽ có quyền truy cập dịch vụ được lưu trữ trong mạng Tor.

EvilProxy được quảng cáo trên các diễn đàn tin tặc

Khi việc áp dụng MFA cho các tài khoản người dùng trực tuyến gần như là bắt buộc, nhiều tin tặc chuyển sang các công cụ Reverse Proxy và dịch vụ tấn công có sẵn đang là thách thức lớn cho các chuyên gia bảo mật và quản trị mạng. Người dùng trực tuyến cần cảnh giác hơn đối với các cuộc tấn công kỹ nghệ xã hội của tin tặc nhằm mục đích đưa đến các URL giả mạo, bí mật thu thập thông tin của người dùng.

Trần Nam

(resecurity.com)

‹ › ×

Tin liên quan

Công cụ tìm kiếm của Google gặp sự cố ngừng hoạt động trên diện rộng

10:00 | 10/08/2022

Vào khoảng 8h30 sáng ngày 9/8, một sự cố đã xảy ra với Google khiến công cụ tìm kiếm của hãng này gặp trục trặc. Số liệu từ trang DownDetector cho thấy, website này nhận được một lượng lớn phản ánh của người dùng về những sự cố gặp phải với Google.

Phương pháp tấn công mới có thể vượt qua một số tường lửa ứng dụng web phổ biến

16:00 | 16/12/2022

Các nhà nghiên cứu tại công ty an ninh mạng Claroty đã xác định được một phương pháp tấn công mới có thể được sử dụng để vượt qua tường lửa ứng dụng web (WAF) của một số nhà cung cấp khác nhau và xâm nhập vào hệ thống, từ đó cho phép tin tặc giành quyền truy cập vào những thông tin dữ liệu nhạy cảm.

Một số phương pháp bảo mật API hiệu quả cho tổ chức/doanh nghiệp

15:00 | 26/05/2023

Ngày nay, trong quy trình xem xét, đánh giá và phân bổ nguồn lực của các tổ chức/doanh nghiệp, bảo mật dữ liệu vẫn được coi là ưu tiên hàng đầu. Tuy nhiên, nhiều tổ chức/doanh nghiệp vẫn phải đối mặt với nhiều hơn những mối đe dọa từ các sự cố an ninh mạng mà họ lường trước.

Phần mềm quản lý mật khẩu LastPass bị tin tặc tấn công

15:00 | 30/08/2022

Mới đây, ứng dụng quản lý mật khẩu LastPass cho biết một phần mã nguồn và dữ liệu kỹ thuật nội bộ đã bị đánh cắp cách đây 2 tuần sau khi tin tặc đột nhập hệ thống. May mắn, mật khẩu của người dùng không bị tấn công.

Tin tặc sử dụng chiến thuật vượt qua xác thực CAPTCHA trong chiến dịch Freejacking trên GitHub

10:00 | 18/01/2023

Một tác nhân đe dọa đến từ Nam Phi có tên là “Automated Libra” đã được phát hiện đang sử dụng các kỹ thuật vượt qua xác thực CAPTCHA để tạo một số lượng lớn tài khoản GitHub, các kỹ thuật này được lập trình như một phần của chiến dịch Freejacking có tên gọi là “PURPLEURCHIN”, với mục đích khai thác tiền điện tử trên các nền tảng đám mây.

Giải pháp ngăn chặn lưu lượng BOT độc hại truy cập Internet

10:00 | 22/09/2023

Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.

Nhóm tin tặc Iron Tiger tấn công chuỗi cung ứng để triển khai phần mềm độc hại

12:00 | 25/08/2022

Theo báo cáo của Trend Micro, nhóm tin tặc có liên quan đến Trung Quốc, Iron Tiger đã sử dụng các máy chủ bị xâm nhập của một ứng dụng trò chuyện để phân phối phần mềm độc hại tới các hệ thống Windows và macOS.

Tin cùng chuyên mục

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Lỗ hổng mới trong cảm biến vân tay cho phép kẻ tấn công vượt qua xác thực đăng nhập của Windows Hello

09:00 | 24/11/2023

Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.

Giải mã tính năng che giấu của TriangleDB trong chiến dịch Operation Triangulation

13:00 | 13/11/2023

TriangleDB là phần mềm độc hại chính được sử dụng trong chiến dịch Operation Triangulation nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Bài viết này trình bày chi tiết một khía cạnh quan trọng của cuộc tấn công, bao gồm các module tính năng lén lút được thực hiện bởi các tác nhân đe dọa cùng với những thông tin về các thành phần được sử dụng, dựa trên báo cáo phân tích mới đây của hãng bảo mật Kaspersky.