EvilProxy – nowa usługa Phishing-As-A-Service omijająca 2FA
Sprawdź darmową edukację z cyberbezpieczeństwa ↓

EvilProxy – nowa usługa Phishing-As-A-Service omijająca 2FA

Badacze z Resecurity odkryli, że na darkwebowych forach pojawił się nowy zestaw narzędzi (PhaaS) nazwany EvilProxy (lub inaczej Moloch).

Badacze z Resecurity odkryli, że na darkwebowych forach pojawił się nowy zestaw narzędzi phishing-as-a-service (PhaaS) nazwany EvilProxy (lub inaczej Moloch). Platforma ta specjalizuje się w kampaniach phishingowych typu reverse proxy, których celem jest obejście mechanizmów uwierzytelniania wieloskładnikowego. Dostęp do platformy realizowany jest na zasadzie subskrypcji na usługę przez okres 10,20 lub 31 dni. 

EvilProxy omija uwierzytelnianie wieleskładnikowe

EvilProxy, aby omijać elementy uwierzytelniania wieloskładnikowego, używa odwrotnego serwera proxy oraz techniki cookie injecting. W sieciach komputerowych odwrotny serwer proxy to ten, który znajduje się przed innymi serwerami sieciowymi i przesyła żądania klientów do tych serwerów internetowych. W przypadku EvilProxy koncepcja jest podobna. Platforma przenosi ofiarę na stronę phishingową, wykorzystując odwrotny serwer proxy i tym samym uzyskując legalną zawartość strony logowania. Tam natomiast zbierane są dane uwierzytelniające, podczas gdy ruch przechodzi przez serwer proxy. Działanie EvilProxy można porównać z atakami adversary-in-the-middle (AiTM). 

Zagrożenia niesione przez platformy Phaas

Badacze z Resecurity podkreślili, że w trakcie śledztwa uzyskali znaczną wiedzę na temat struktury, modułów i funkcji EvilProxy.  Platforma została po raz pierwszy zauważona na początku maja 2022 r. Autorzy oprogramowania nagrali film opisujący, w jaki sposób można wykorzystać EvilProxy do dostarczania linków phishingowych. Wykorzystane do włamania się na konta m.in. iCloud, Facebook, Google, Instagram, Microsoft czy Twitter.

Pierwsze ataki związane z EvilProxy były skierowane przeciwko klientom Google i Microsoft z włączoną usługą MFA na swoich kontach. Zaatakowani klienci wybierali SMS-y i tokeny aplikacji do uwierzytelniania. 

Resecurity ostrzegło także, że EvilProxy obsługuje również ataki na repozytoria Python Package Index (PyPi), GitHub, NPM i RubyGems, co mogłoby stanowić zagrożenie dla łańcuchów dostaw. 

Robin Banks

Innym przykładem platformy PhaaS jest Robin Banks. Atakuje poprzez SMS-y lub e-maile celem uzyskania dostępu do danych uwierzytelniających do kont Citibank, ale także Google. Głównym celem cyberprzestępców są zatem bez wątpienia kwestie finansowe. Próby uzyskiwania danych uwierzytelniających np. do kont Google wskazywać mogą natomiast na torowanie sobie drogi dostępu do korporacyjnych sieci. Po uzyskaniu takiego dostępu oszuści mogą przeprowadzać szereg szkodliwych działań w sieci, z ransomware na czele.

 

Aby zapewnić odpowiednią ochronę przed tego typu zagrożeniami, eksperci sugerują korzystanie z narzędzi wykrywających złośliwe oprogramowanie za pomocą analizy behawioralnej.

 

Źródło: https://www.infosecurity-magazine.com/news/evilproxy-phishing-toolkit-dark-web/ 
https://sensorstechforum.com/evilproxy-phishing-bypasses-mfa/?fbclid=IwAR07c1poeBpb3FCOLmIngbS0TtnczRhfE2hdw_lCPmrNIimW6x3ecJwrRx8 
Źródło obrazka: https://www.vecteezy.com/photo/9377380-young-businessman-scanning-fingerprints-to-perform-internal-security
Oceń blog:
Czas czytania: 4 min
Data: 12.09.2022

Terminarz

prev

next

Lista najbliższych webinariów

25.06.2026
10:00 [ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
29.06.2026
10:00 PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel Endpoint Detection and Response (EDR)

case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel

Czytaj więcej
case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline Next Generation Firewall (NGFW)

case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline

Czytaj więcej
WatchGuard MDR - co to jest i który wariant wybrać? Managed Detection and Response (MDR)

WatchGuard MDR - co to jest i który wariant wybrać?

Czytaj więcej
WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026 Endpoint Detection and Response (EDR)

WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026

Czytaj więcej
Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności Usługi i szkolenia

Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności

Czytaj więcej