Nell’immaginario collettivo la figura dell’hacker è dipinta come quella di un asociale, trasandato, in una cantina umida o nel buio di una cameretta illuminata solo dai led dei pc, munito di felpa con cappuccio calato, intento a battere sulla tastiera davanti ad immagini in puro stile matrix.
Un’idea errata che, per quanto romantica, andrebbe sostituita con quella di vere e proprie società organizzate sommerse, intente ad ideare, costruire e vendere prodotti, supportate da campagne marketing mirate nel dark web, tutorial di configurazione e servizi di post-vendita.
Evilproxy, è uno di questi prodotti.
Disponibile sul dark web per l’equivalente di circa 400 dollari, questo kit rappresenta una piattaforma PaaS (Phishing as a Service) che, in particolare, offrirebbe la capacità di creare pagine di phishing personalizzate atte ad agire con funzioni di reverse proxy e cookie injection.
Le pagine prodotte, del tutto simili a quelle lecite emulate, sarebbero progettate per catturare i cookie di sessione degli utenti, al fine di consentire agli aggressori di impersonare le vittime e superare l’autenticazione a più fattori (MFA) per ottenere accesso a un sito web legittimo.
Le prime tracce risalirebbero a maggio 2022, quando era stato individuato dal team Hunter di Resecurity.
L’uso di una versione del kit perfezionata sarebbe poi stato rilevato a Luglio 2023, come apparirebbe dalla ricerca di Menlo Labs che ha individuato e bloccato tale campagna malevola ai danni di manager negli Stati Uniti dove veniva utilizzato per emulare mail mirate del noto portale INDEED.
Un attacco mirato che rappresenta generalmente il primo passaggio di catene di attacco più strutturate, volte a compromettere poi mail aziendali, clonare identità e colpire le aziende in cui i malcapitati lavorano con danni economici spesso notevoli.
L’evoluzione in società dei gruppi di hacker costituisce un segnale potente per la sicurezza generale degli utenti, visto che sistemi pronti all’uso come quelli da loro creati, come EvilProxy, rendono accessibili anche agli utenti meno esperti mezzi potenti e perfezionati, elevando il livello medio di azione della platea degli attori malevoli.
In conseguenza di tale innalzamento, le piccole e medie imprese, tradizionalmente meno dotate di sistemi di sicurezza, potrebbero più facilmente rientrare nel mirino di attività illecite, ed essere poi sfruttate oltre che per rapidi proventi economici anche per risalire la china della supply-chain ed intaccare bersagli più grossi.
Ancora una volta, informare, investire in corsi di sensibilizzazione e aggiornare i propri livelli di sicurezza, ad esempio adottando soluzioni MFA resistenti al phishing come le autenticazioni passwordless FIDO, appaiono come le soluzioni più rapide ed indicate per mitigare concretamente i rischi.
Link al report Menlo Security:
https://www.menlosecurity.com/blog/evilproxy-phishing-attack-strikes-indeed/
#evilproxy #phishing #cyberthreat #cyberattack #indeed #cybereducation #indeed #newthreats #cybersecurity #observere
