Un nouvel outil de piratage peut prétendument contourner toutes les protections de sécurité mises en place pour empêcher les cyberattaques et accéder à certains des sites Web les plus populaires au monde, selon des rapports.
L'opérateur à l'origine de l'outil EvilProxy affirme qu'il est capable de voler les jetons d'authentification nécessaires pour contourner les systèmes d'authentification multifacteur (MFA) utilisés par Apple, Google, Facebook, Microsoft et Twitter.
Le service est particulièrement préoccupant car il promet de mettre ces attaques à la disposition de tous les pirates, même ceux qui n'ont pas les compétences ou les connaissances précises pour attaquer des cibles aussi importantes.
Menace d'hameçonnage
L'outil a été découvert par la société de sécurité Resecurity (ouvre dans un nouvel onglet), qui note qu'EvilProxy (également connu sous le nom de Moloch) est une plate-forme de phishing en tant que service (PaaS) pour inverser le proxy annoncé sur le dark web.
Il propose de voler des noms d'utilisateur, des mots de passe et des cookies de session, au coût de 150 € pour dix jours, 250 € pour 20 jours ou 400 € pour une campagne d'un mois - bien que les attaques contre les attaques de Google coûteront plus cher, à 250 € , 450 € et 600 € respectivement.
Les proxys inverses sont généralement situés entre un site Web et une sorte de point de terminaison d'authentification en ligne, comme une page de connexion. EvilProxy trompe ses victimes à l'aide de leurres de phishing, les amenant sur une page légitime où il leur est demandé de saisir des identifiants de connexion et des informations MFA. Ces données sont ensuite envoyées au site Web légitime prévu, le connectant et générant également un cookie de session contenant un jeton d'authentification, qui est envoyé à la victime.
Cependant, ce cookie et ce jeton d'authentification peuvent être volés par le proxy inverse qui, comme indiqué, se situe entre l'utilisateur et le site Web légitime. Les attaquants peuvent alors utiliser ce jeton pour se connecter au site en se faisant passer pour leur victime, évitant ainsi d'avoir à ressaisir des informations sur le processus MFA.
Resecurity note qu'en dehors de l'intelligence de l'attaque elle-même, qui est plus facile à mettre en œuvre que les autres attaques de l'homme du milieu (MITM), ce qui distingue également EvilProxy, c'est son approche conviviale. Après l'achat, les clients reçoivent des vidéos et des didacticiels étape par étape sur la façon d'utiliser l'outil, qui dispose d'une interface graphique propre et ouverte où les utilisateurs peuvent configurer et gérer leurs campagnes de phishing.
Il propose également une bibliothèque de pages de phishing clonées existantes pour les services Internet populaires, qui, avec les noms mentionnés ci-dessus, incluent GoDaddy, GitHub, Dropbox, Instagram, Yahoo et Yandex.
"Alors que la vente d'EvilProxy nécessite une vérification, les cybercriminels disposent désormais d'une solution rentable et évolutive pour effectuer des attaques de phishing avancées afin de compromettre les consommateurs de services en ligne populaires compatibles MFA", a noté Resecurity.
"L'émergence de tels services sur le dark web entraînera une augmentation significative de l'activité ATO/BEC et des cyberattaques ciblant l'identité des utilisateurs finaux, où la MFA peut être facilement contournée à l'aide d'outils comme EvilProxy".
Via BleepingComputer (Ouvre dans un nouvel onglet)