Η Νέα Υπηρεσία EvilTokens και οι Επιθέσεις Phishing Κωδικών Συσκευών
Η ψηφιακή ασφάλεια έχει γίνει πιο κρίσιμη από ποτέ, με τις επιθέσεις phishing να κυριαρχούν στη σφαίρα του κυβερνοχώρου. Μια νέα και επικίνδυνη κακόβουλη υπηρεσία με την ονομασία EvilTokens παρουσιάστηκε, επεκτείνοντας τις δυνατότητες των επιθέσεων phishing και διευκολύνοντας τους εισβολείς στην παραβίαση λογαριασμών Microsoft και στην εκτέλεση επιθέσεων που στοχεύουν επαγγελματικά email.
Το EvilTokens διατίθεται προς πώληση σε εγκληματίες του κυβερνοχώρου μέσω του Telegram, με τη συνεχή ανάπτυξή του να υποδεικνύει ότι οι επιθέσεις θα συνεχίζουν να εξελίσσονται. Ο προγραμματιστής του έκανε λόγο για επέκταση της υποστήριξής του και σε άλλες πλατφόρμες, όπως οι σελίδες phishing του Gmail και της Okta.
Τι Είναι οι Επιθέσεις Phishing Κωδικών Συσκευής;
Οι επιθέσεις phishing κωδικών συσκευής εκμεταλλεύονται τη διαδικασία εξουσιοδότησης του OAuth 2.0. Οι εισβολείς αποκτούν πρόσβαση στους λογαριασμούς των θυμάτων με τη βοήθεια εξαιρετικά πειστικών μεθόδων, οι οποίες παραπλανούν το θύμα να εξουσιοδοτήσει μια κακόβουλη συσκευή ως έγκυρη. Αυτή η μέθοδος έχει χρησιμοποιηθεί επανειλημμένα από γνωστές ομάδες εισβολέων, όπως οι ρωσικές ομάδες Storm-237 και ShinyHunters [1, 2, 3].
Η Ροή των Επιθέσεων EvilTokens
Ερευνητές από την εταιρεία Sekoia έχουν καταγράψει επιθέσεις όπου τα θύματα λαμβάνουν email που περιέχουν κακόβουλα έγγραφα (PDF, HTML, DOCX, XLSX ή SVG). Τα έγγραφα αυτά είτε περιλαμβάνουν QR codes είτε υπερσυνδέσμους που οδηγούν σε σελίδες phishing του EvilTokens.
- Τα email αυτά συχνά προσποιούνται νόμιμες επιχειρηματικές επικοινωνίες, όπως οικονομικά έγγραφα ή προσκλήσεις σε συσκέψεις.
- Οι σκοπισμένες επιθέσεις προσαρμόζονται ανάλογα με τον ρόλο του θύματος (πχ. οικονομικά, HR, logistics).
Πηγή: Sekoia
Όταν το θύμα ανοίγει τον σύνδεσμο, ανακατευθύνεται σε μια σελίδα που προσποιείται ότι είναι υπηρεσία όπως το Adobe Acrobat ή το DocuSign, ζητώντας έναν κωδικό επαλήθευσης και οδηγίες για την ολοκλήρωση της διαδικασίας. Με την επιλογή του κουμπιού “Συνέχεια στη Microsoft”, το θύμα ανακατευθύνεται στη νόμιμη σελίδα σύνδεσης Microsoft.
Πώς Λειτουργεί η Επιτυχία της Επίθεσης;
Ο εισβολέας χρησιμοποιεί έναν νόμιμο πελάτη (π.χ. μιας εφαρμογής της Microsoft) για να ζητήσει έναν κωδικό συσκευής και να εξαπατήσει το θύμα να ελέγξει την ταυτότητά του μέσω της επίσημης διεύθυνσης URL της Microsoft. Αυτό έχει ως αποτέλεσμα την απόκτηση ενός διακριτικού πρόσβασης μικρής διάρκειας και ενός διακριτικού ανανέωσης, προσφέροντας έτσι μόνιμη πρόσβαση στον λογαριασμό του θύματος.
Πηγή: Sekoia
Αυτά τα διακριτικά παρέχουν πρόσβαση σε κρίσιμες υπηρεσίες, όπως τα email, τα αρχεία και τα δεδομένα Teams, παρέχοντας έτσι τη δυνατότητα στον εισβολέα να εκτελεί επιθέσεις πλαστοπροσωπίας SSO σε όλες τις υπηρεσίες της Microsoft.
Παγκόσμια Επίπτωση και Αντίκτυποι
Η Sekoia έχει καταγράψει ότι οι επιθέσεις μέσω του EvilTokens επηρεάζουν χώρες όπως οι Ηνωμένες Πολιτείες, ο Καναδάς, η Γαλλία, η Αυστραλία, η Ινδία, η Ελβετία και τα ΗΑΕ. Οι επιθέσεις αυτές πραγματοποιούνται σε μεγάλη κλίμακα και υποδεικνύουν τη σοβαρότητα της κατάστασης.
Πηγή: Sekoia
Επιπλέον, οι ερευνητές επισημαίνουν ότι το EvilTokens προσφέρει λειτουργίες phishing-as-a-service (PhaaS), διευκολύνοντας την εκτέλεση επιθέσεων εκβιασμού μέσω αυτοματισμού, γεγονός που καθιστά την πρόληψη αυτής της απειλής ακόμα πιο δύσκολη.
Τα χρονικά διαστήματα και οι τρόποι εκτέλεσης των επιθέσεων αυτών υποδεικνύουν ότι τα EvilTokens χρησιμοποιούνται ευρέως από εγκληματικές ομάδες που επιδιώκουν να εκμεταλλευτούν τις ευπάθειες των οργανισμών.
Προτάσεις και Μέτρα Ασφαλείας
Για να αντιμετωπίσουν αυτές τις απειλές, οι ειδικοί προτείνουν:
- Χρήση πολυπαραγοντικής αυθεντικοποίησης (MFA).
- Εκπαίδευση των υπαλλήλων σχετικά με τις επιθέσεις phishing.
- Αυστηρότερη παρακολούθηση και ανάλυση των email που λαμβάνονται.
Η Sekoia παρέχει επίσης δείκτες συμβιβασμού (IoC), τεχνικές λεπτομέρειες και κανόνες YARA για να βοηθήσει τους υπερασπιστές να αποκλείσουν τις επιθέσεις που αξιοποιούν το κιτ EvilTokens PhaaS. Οι οργανισμοί θα πρέπει να παραμένουν σε εγρήγορση και να κοιτούν προς την ενημέρωση των πολιτικών ασφαλείας τους.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Οι περισσότερες ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.