Un nuevo Phishing-as-a-Service (PhaaS) llamado EvilProxy (también conocido como Moloch) fue visto a la venta en foros de la web oscura, según el equipo de Resecurity.
El análisis advierte que este tipo de métodos se han visto antes en campañas dirigidas de amenazas persistentes avanzadas (APT) y grupos de ciberespionaje.
Además, basándose en la investigación en curso de los ataques contra múltiples empleados de empresas de la lista Fortune 500, Resecurity dijo que obtuvo un conocimiento sustancial sobre EvilProxy, incluyendo su estructura, módulos, funciones y la infraestructura de red utilizada.
“Las primeras apariciones de EvilProxy se han identificado inicialmente en relación con los ataques contra los clientes de Google y MSFT que tienen MFA habilitado en sus cuentas, ya sea con SMS o Application Token”, dijeron los investigadores de seguridad.
En un intento de establecer una línea de tiempo de las operaciones de EvilProxy, Resecurity dijo que el malware fue detectado por primera vez a principios de mayo de 2022, cuando los actores de la amenaza (TAs) detrás de él publicaron un video de demostración que describe cómo podría ser utilizado para entregar enlaces de phishing avanzado.
Estos, a su vez, podrían utilizarse para comprometer cuentas de consumidores pertenecientes a Apple, Facebook, Google, Instagram, Microsoft y Twitter, entre otros.
“Notablemente, EvilProxy también soporta ataques de phishing contra Python Package Index (PyPi)”, advirtió Resecurity.
Varios colaboradores del proyecto de repositorio de software PyPi fueron objeto la semana pasada de un ataque de phishing destinado a engañarles para que divulgaran las credenciales de acceso a sus cuentas.
Ese ataque, vinculado a la carga útil JuiceStealer, fue conectado ahora a los actores de EvilProxy por Resecurity. Según los expertos en seguridad, la AT habría añadido esta función poco antes de que se realizara el ataque.
El análisis también sugiere que es muy probable que estos actores de la amenaza se dirijan a los desarrolladores de software y a los ingenieros de TI con el fin de obtener acceso a sus repositorios con el objetivo final de piratear objetivos “aguas abajo”.
Info – Ciberseguridad Latam