EvilProxy : un service tout-en-un pour faire du phishing et contourner le MFA !
Vous l'ignorez peut-être, mais l'activation de l'authentification à double facteurs sur un compte ne vous protégera pas de toutes les attaques, notamment des tentatives de phishing. Le nouveau service proposé par les pirates informatiques et baptisé EvilProxy en est la preuve ! Mais, qu'est-ce que c'est EvilProxy ? A quoi ça sert ?
Les chercheurs en sécurité de chez Resecurity ont fait la découverte d'un nouveau service baptisé EvilProxy et publié sur différents forums sur le Dark Web. Utilisé dans le cadre d'attaques de type phishing, EvilProxy s'appuie sur les principes de fonctionnement du reverse proxy et de l'injection de cookies pour contourner l'authentification à double facteurs.
On peut dire que la session de la victime est "proxifiée", car l'utilisateur, sans s'en rendre compte, va interagir avec un serveur proxy malveillant qui sert d'intermédiaire pour le site Web cible, ce qui va permettre à EvilProxy de récolter les identifiants et le code 2FA saisit sur la page de connexion. EvilProxy est capable de générer des liens de phishing qui renvoient vers des pages falsifiées (des copies du site d'origine) dans le but de compromettre les identifiants et il est compatible avec de nombreux services comme Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, etc.
EvilProxy, un service PhaaS disponible par abonnement
EvilProxy est un service de type phishing-as-a-service (PhaaS) proposé sous la forme d'un abonnement pour une période de 10, 20 ou 31 jours. Par exemple, on peut obtenir un accès à ce kit pour 400 dollars pour 1 mois, pour ensuite obtenir un accès via le réseau TOR en ayant au préalable effectué le paiement : cette étape indispensable s'effectue par l'intermédiaire de Telegram, après avoir échangé avec une personne à l'origine du projet EvilProxy. Autant dire que l'accès à l'outil est soumis à la validation des cybercriminels. Selon les options choisies, le prix de l'abonnement peut augmenter, car si l'on veut s'attaquer à des comptes Google, le coût peut atteindre 600 dollars par mois.
Nous pouvons voir aussi qu'au-delà de cibler des services comme Facebook, Google ou Microsoft, EvilProxy donne aussi la possibilité de cibler des accès NPM, PyPI, Github, etc... Ce qui peut être très puissant ! Si un attaquant obtient un accès non autorisé à un compte PyPI, il peut injecter du code malveillant dans un programme populaire et infecter de nombreuses personnes... Ce n'est pas seulement les utilisateurs lambda qui sont ciblés, mais également les développeurs, les devops, etc.
L'authentification à double facteur, oui, mais avec une clé de sécurité c'est encore mieux pour se protéger contre les attaques de ce type.
