Phát hiện công cụ tấn công mới cho phép tin tặc vượt qua xác thực đa yếu tố

Mới đây, các nhà nghiên cứu tại công ty bảo mật Resecurity đã phát hiện một nền tảng PaaS (Phishing-as-a-Service) được gọi là “EvilProxy” (còn được gọi là Moloch), đang được các tin tặc sử dụng như một công cụ để đánh cắp mã xác thực thông báo nhằm vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA) trên các ứng dụng phổ biến như Apple, Google, Facebook,...

EvilProxy là một nền tảng Lừa đảo dưới dạng Dịch vụ - PaaS, được phát hiện lần đầu tiên vào tháng 5/2022, khi các tin tặc phát triển công cụ này đã phát hành một video hướng dẫn chi tiết cách sử dụng công cụ để cung cấp các liên kết giả mạo, với mục tiêu là vượt qua các biện pháp bảo vệ MFA và xâm phạm tài khoản người dùng trên các ứng dụng phổ biến như: Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Micosoft, Twitter, Yahoo, Yandex. Một điều vô cùng nguy hiểm với EvilProxy đó là ngay cả khi những người không có kỹ năng cần thiết vẫn có thể tiến hành các chiến dịch tấn công nhắm vào các trang mạng xã hội khác nhau.

Cách thức hoạt động

EvilProxy sử dụng Reverse Proxy để tiến hành tấn công. Theo đó, tin tặc sẽ gửi một liên kết giả mạo để đưa người dùng đến một trang lừa đảo và yêu cầu họ cung cấp thông tin trên các biểu mẫu đăng nhập, dữ liệu thu thập được sẽ được gửi đến trang web hợp pháp, đăng nhập cho người dùng. Đồng thời cũng tạo ra một phiên cookie chứa mã xác thực thông báo, mã này sẽ được gửi tới người dùng.

Tuy nhiên, vì Reverse Proxy đứng giữa người dùng và trang web hợp pháp nên tin tặc có thể đánh cắp phiên cookie chứa mã thông báo xác thực. Sau đó, tin tặc có thể sử dụng cookie xác thực này để đăng nhập vào các dịch vụ với tư cách là người dùng, bằng cách này mà các tin tặc đã vượt qua được các biện pháp MFA đã được thiết lập sẵn.

Cách thức hoạt động của EvilProxy

Resecurity cho biết việc sử dụng EvilProxy rất đơn giản vì có các video hướng dẫn chi tiết công cụ này với giao diện trực quan, dễ sử dụng và thân thiện với người dùng, cùng với có nhiều lựa chọn các trang web giả mạo được thiết kế giống các dịch vụ Internet phổ biến hiện nay, do vậy tin tặc có thể thiết lập và quản lý, theo dõi các chiến dịch tấn công giả mạo để đánh cắp thông tin như: tên người dùng, mật khẩu và phiên cookie.

Giao diện của EvilProxy

Hiện tại, công cụ này đang được rao bán với chi phí 150 USD trong 10 ngày, 250 USD trong 20 ngày và 400 USD cho chiến dịch tấn công trong vòng một tháng. Trong khi đó, các cuộc tấn công vào tài khoản Google sẽ có giá cao hơn, dao động từ 250 USD đến 600 USD.

Chi phí rao bán công cụ EvilProxy

EvilProxy đang được quảng bá tích cực trên các diễn đàn tin tặc và web đen (dark web). Việc thanh toán với EvilProxy được thực hiện thủ công thông qua một nhà điều hành trên ứng dụng nhắn tin Telegram. Khi bên cho thuê dịch vụ nhận được tiền, các tin tặc sẽ có quyền truy cập dịch vụ được lưu trữ trong mạng Tor.

EvilProxy được quảng cáo trên các diễn đàn tin tặc

Khi việc áp dụng MFA cho các tài khoản người dùng trực tuyến gần như là bắt buộc, nhiều tin tặc chuyển sang các công cụ Reverse Proxy và dịch vụ tấn công có sẵn đang là thách thức lớn cho các chuyên gia bảo mật và quản trị mạng. Người dùng trực tuyến cần cảnh giác hơn đối với các cuộc tấn công kỹ nghệ xã hội của tin tặc nhằm mục đích đưa đến các URL giả mạo, bí mật thu thập thông tin của người dùng.

PV (T/h)