EvilProxy 正在成为针对受 MFA 保护的帐户的更流行的网络钓鱼平台之一，研究人员发现有 120,000 封网络钓鱼电子邮件发送到一百多个组织，以窃取 Microsoft 365 帐户。

这项新研究来自 Proofpoint，该公司警告说，过去五个月里成功的云帐户接管事件急剧增加，主要影响到高级管理人员。

这家网络安全公司观察到由 EvilProxy 支持的大规模活动，该活动结合了品牌假冒、机器人检测规避和开放重定向。

EvilProxy 攻击

EvilProxy 是一个网络钓鱼即服务平台，它使用反向代理在用户（目标）和合法服务网站之间中继身份验证请求和用户凭据。

由于网络钓鱼服务器代理合法的登录表单，一旦用户登录其帐户，它就可以窃取身份验证 cookie。 

此外，由于用户在登录帐户时必须通过 MFA 质询，因此被盗的 cookie 允许威胁行为者绕过多因素身份验证。

据 Resecurity 于 2022 年 9 月报道，EvilProxy 以每月 400 美元的价格出售给网络犯罪分子，承诺能够针对 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和 PyPI 帐户。

Proofpoint 自 2023 年 3 月以来观察到的一个新的网络钓鱼活动正在使用 EvilProxy 服务发送冒充 Adob​​e、DocuSign 和 Concur 等流行品牌的电子邮件。

如果受害者点击嵌入的链接，他们会通过 YouTube 或 SlickDeals 进行开放重定向，然后进行一系列后续重定向，旨在降低被发现和分析的机会。

最终，受害者登陆 EvilProxy 网络钓鱼页面，该页面反向代理 Microsoft 365 登录页面，该页面还具有受害者的组织主题，以显得真实。

Proofpoint 解释道：“为了向自动扫描工具隐藏用户电子邮件，攻击者对用户电子邮件进行了特殊编码，并使用已被黑客攻击的合法网站上传 PHP 代码来解码特定用户的电子邮件地址。” 。

“解码电子邮件地址后，用户被转发到最终网站 – 实际的网络钓鱼页面，专为该目标组织量身定制。”

针对特点

研究人员 发现 ，最新的攻击活动将具有土耳其 IP 地址的用户重定向到合法网站，从本质上取消了攻击，这可能意味着该操作位于土耳其。

此外，Proofpoint 注意到，攻击者非常有选择性地选择进入帐户接管阶段的情况，优先考虑“VIP”目标并忽略层次结构中较低的目标。

在账户被盗的人中，39%是C级高管，9%是首席执行官和副总裁，17%是首席财务官，其余是有权接触金融资产或敏感信息的员工。

一旦 Microsoft 365 帐户受到威胁，威胁参与者就会添加自己的多重身份验证方法（通过带有通知和代码的身份验证器应用程序）来建立持久性。

反向代理网络钓鱼工具包，尤其是 EvilProxy，是一种日益严重的威胁，能够以危险的规模提供高质量的网络钓鱼，同时绕过安全措施和帐户保护。

组织只能通过更高的安全意识、更严格的电子邮件过滤规则以及采用基于 FIDO 的物理密钥来防御这种威胁。