-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
NUEVA ACTIVIDAD DEL KIT DE PHISHING EVILPROXY
31/01/2024
Descripción
Estas campañas maliciosas se dieron a conocer a principios de julio del 2023 realizando ataques de phishing AirTM (Adversary In The Middle), actuando como un Proxy inverso capturando las solicitudes del cliente y del sitio web legítimo, en este caso por medio de una vulnerabilidad de redirección abierta interceptan la comunicación de una plataforma de búsqueda de empleo suplantando se hacen pasar Microsoft para poder recolectar información sensible como cookies de inicio de sesión con el fin de evadir y capturar las autenticaciones multifactor (MFA y 2FA).
Evilproxy es una herramienta que es comercializada en foros clandestinos de la Dark Web ofreciendo sus servicios como Phishing-As—Service con una suscripción de 10 a 31 días incluyendo un panel administrativo, esta amenaza se encuentra disponible entre los 200 a 1.000 dólares.
Vector de infección
Mediante correo electrónico utiliza técnicas de phishing donde adjuntan enlaces maliciosos usando ingeniería social, para que la víctima que es engañada haga clic en el enlace donde es redireccionada a un sitio web malicioso de Microsoft con el fin de capturar sus cookies y su información personal.
Recomendaciones
- Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios.
- Evitar abrir mensajes de correo sospechosos o de dudosa procedencia, así mismo, evitar descargar archivos que contengan adjuntos.
- Realizar campañas de concientización a los usuarios sobre las técnicas comunes de phishing y spearphishing.