EvilProxy という Phishing-as-a-Service:低スキル・ハッカーに高度な手口を提供

New EvilProxy service lets all hackers use advanced phishing tactics

2022/09/05 BleepingComputer — 新たに登場した EvilProxy は、リバース・プロキシ型の Phishing-as-a-Service (PaaS) プラットフォームであり、Apple/Google/Facebook/Microsoft/Twitter/GitHub/GoDaddy に加えて、PyPI における多要素認証 (MFA) をバイパスするために認証トークンを窃取する。この、犯罪者のためのサービスにより、リバース・プロキシの設定方法を知らない低スキルの脅威アクターであっても、強固に保護されているアカウント情報の窃取が可能になる。


リバース・プロキシとは、標的となる被害者と、企業のログインフォームのような正当な認証エンドポイントとの間に位置するサーバのことである。被害者がフィッシング・ページに接続すると、リバース・プロキシは正規のログイン・フォームを表示し、リクエストを転送し、企業の Web サイトからのレスポンスを返す。

したがって、被害者がフィッシング・ページに認証情報と MFA を入力すると、実際のプラットフォームのサーバに転送される。そこでユーザーのログインが完了し、セッション・クッキーが返される仕組みになっている。

しかし、脅威アクターのプロキシが中間に位置するため、認証トークンを含むセッション・クッキーを盗み出すことも可能になる。脅威アクターは、この認証クッキーを使って、ユーザーとしてサイトにログインし、設定されている多要素認証の保護をバイパスできる。

How reverse proxies work
リバース・プロキシの仕組み (Resecurity)

最近の傾向として、洗練された APT グループは、ターゲットのアカウントの MFA 保護をバイパスするために、リバース・プロキシを採用してきた。独自のカスタムツールを使用するグループもあれば、Modlishka/Necrobrowser/Evilginx2 などの、より容易に展開できるキットを使用するグループもある。

これらのフィッシング・フレームワークと EvilProxy の違いは、後者の方が導入がはるかに容易であり、詳しい説明ビデオ/チュートリアル/使いやすい GUI /人気のあるインターネット・サービスのクローン・フィッシング・ページなどの、豊富なセレクションを提供している点にある。

Usage instructions on the platform
プラットフォームでのインストラクション (Resecurity)

EvilProxy の詳細

サイバーセキュリティ会社の Resecurity によると、EvilProxy は使いやすい GUI を提供しており、脅威アクターはフィッシング・キャンペーンと、その背景にあるすべての詳細を設定し、管理することが可能だという。

Setting up a new campaign on the phishing service
フィッシングサービスでのキャンペーン・オプションの選択 (Resucurity)

このサービスが約束するのは、ユーザー名/パスワード/セッション・クッキーの窃取であり、その費用は 10日間で $150/20日間で $250/1ヶ月はキャンペーン価格で  $400 となっている。Google アカウントに対する攻撃は、それぞれ $250/$450/$600ドルと、より高額になる。

Resecurity は以下のビデオで、EvilProxy を使用した Google アカウントへの攻撃の様子を紹介している。

このサービスは、クリアネットやダークウェブのハッキングフォーラムで活発に宣伝されているが、販売者はクライアントを吟味しており、購入希望者の中には拒否される者もいるようだ。

Resecurity によると、サービスの支払いは Telegram で個別に行われるという。入金が完了すると、顧客はオニオンネットワーク (TOR) でホストされるポータルにアクセスできるようになる。

このプラットフォームを Resecurity がテストしたところ、EvilProxy にとって不適切な訪問者をフィルタリングするための、VM/アンチ解析/アンチボット保護なども提供されていることが確認された。

Anti-VM features on EvilProxy
EvilProxy の解析対策機能 (Resecurity)

Resecurity のレポートには、「普通の攻撃者であっても、複数の手法とアプローチを使用することで、このフィッシング・キットのコードの検出を回避しながら、被害者を特定/認識していく。詐欺防止ソリューションや CTI (cyber threat intelligence) と同様に、それらの手法により、潜在的な被害者の VPN サービス/プロキシ/TOR 出口ノード/他のホストに関するデータは集約され、IP 分析/評価に使用される」と記されている。

気をつけたいサービス

MFA の導入が進むにつれ、リバースプロキシ・ツールに目を向ける脅アクターが増加している。脅威アクターたちに自動化プラットフォームが提供されることは、セキュリティ専門家やネットワーク管理者にとって、良いニュースではない。

EvilProxy promoted on the Breached forums
Breached フォーラムで宣伝された EvilProxy

現時点において、この問題は、クライアント・サイドの TLS フィンガー・プリンティングを実装し、中間者リクエストを特定し、フィルタリングすることでのみ、対処が可能という状況にある。しかし、このようなステータスの実装は、現実的なものとは言えない。

したがって、EvilProxy のようなプラットフォームは、本質的にスキルギャップを埋めることになり、貴重なアカウントを盗むための、費用対効果の高い方法を、低スキルな攻撃者に提供してしまう。

これまでの Phishing-as-a-Service に関する記事としては、2021年9月の「Microsoft 警告:Phishing-as-a-Service (PHaaS) が流行りだしてきた」がありました。BulletProofLink というサービスが、月額 $800 という価格でサイバー犯罪組織に提供されていると記されています。また、2022年1月19日には、「Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進」がありますが、これも Phishing-as-a-Service と同種と思って良いでしょう。なお、2月17日には、「2022年の脅威を予測する:Malware-as-a-Service と Phishing-as-a-Service と・・・」という記事があり、2022年の脅威のトレンドに Phishing-as-a-Service がリストアップされています。

%d bloggers like this: