黑客利用新的EvilProxy服务策略进行反向代理网络钓鱼即服务-VPS资讯_海外云服务器资讯_海外服务器资讯

一个名为 EvilProxy 的反向代理网络钓鱼即服务 (PaaS) 平台已经出现，承诺窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。

该服务使不知道如何设置反向代理的低技能威胁参与者能够窃取受到良好保护的在线帐户。

反向代理是位于目标受害者和合法身份验证端点之间的服务器，例如公司的登录表单。当受害者连接到网络钓鱼页面时，反向代理会显示合法的登录表单、转发请求并从公司网站返回响应。

当受害者将他们的凭据和 MFA 输入到网络钓鱼页面时，它们会被转发到用户登录的实际平台服务器，并返回一个会话 cookie。

但是，由于威胁参与者的代理位于中间，它也可以窃取包含身份验证令牌的会话 cookie。然后，威胁参与者可以使用此身份验证 cookie 以用户身份登录站点，绕过配置的多因素身份验证保护。

反向代理如何工作（再安全）
一段时间以来，复杂的 APT 组织一直在使用反向代理来绕过目标账户的 MFA 保护，其中一些使用他们自己的自定义工具，而另一些则使用更易于部署的工具包，如 Modlishka、Necrobrowser 和 Evilginx2。

这些网络钓鱼框架和 EvilProxy 之间的区别在于后者更易于部署，提供详细的教学视频和教程、用户友好的图形界面，以及用于流行互联网服务的大量克隆网络钓鱼页面。

平台使用说明（再安全）
深入了解 EvilProxy
网络安全公司 Resecurity 报告称，EvilProxy 提供了一个易于使用的 GUI，威胁参与者可以在其中设置和管理网络钓鱼活动以及支持它们的所有细节。

选择网络钓鱼服务上的活动选项（Resucurity）
该服务承诺窃取用户名、密码和会话 cookie，费用为 150 美元（10 天）、250 美元（20 天）或 400 美元（为期一个月的活动）。针对 Google 帐户的攻击成本更高，为 250/450/600 美元。

在以下视频中，Resecurity 演示了针对 Google 帐户的攻击将如何通过 EvilProxy 展开。

虽然该服务在各种 clearnet 和暗网黑客论坛上得到积极推广，但运营商会对客户进行审查，因此一些潜在买家可能会被拒绝。

据 Resecurity 称，该服务的付款是在 Telegram 上单独安排的。存款完成后，客户可以访问托管在洋葱网络 (TOR) 中的门户。

Resecurity 对该平台的测试证实，EvilProxy 还提供虚拟机、反分析和反机器人保护，以过滤平台托管的网络钓鱼站点上的无效或不受欢迎的访问者。

EvilProxy 上的反分析功能（重新安全）
“不良行为者正在使用多种技术和方法来识别受害者并保护网络钓鱼工具包代码不被检测到，”Resecurity 在报告中解释道。

“与欺诈预防和网络威胁情报 (CTI) 解决方案一样，它们汇总了有关已知 VPN 服务、代理、TOR 出口节点和其他主机的数据，这些数据可用于（潜在受害者的）IP 声誉分析。”

一项值得关注的服务
随着 MFA 采用率的不断提高，越来越多的威胁参与者转向反向代理工具，并且为骗子自动化一切的平台的出现对于安全专业人员和网络管理员来说并不是好消息。

EvilProxy 在 Breached 论坛上推广
目前，这个问题仍然可以通过实施客户端 TLS 指纹识别来识别和过滤中间人请求来解决。但是，该实施在行业中的状态与发展不同步。

因此，像 EvilProxy 这样的平台本质上弥合了技能差距，并为低级威胁参与者提供了一种具有成本效益的方式来窃取有价值的账户。