Cyberthreat.id – Platform reverse-proxy Phishing-as-a-Service (PaaS) yang disebut EvilProxy telah muncul, menjanjikan untuk mencuri token otentikasi untuk melewati otentikasi multi-faktor (MFA) di Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy, dan bahkan PyPI.

Dikutip dari Bleeping Computer, layanan ini memungkinkan pelaku ancaman berketerampilan rendah yang tidak tahu cara mengatur reserve proxy untuk mencuri akun online yang terlindungi dengan baik.

Perusahaan keamanan siber Resecurity menjelaskan, reverse proxy server yang berada di antara korban yang ditargetkan dan titik akhir otentikasi yang sah, seperti formulir login perusahaan. Ketika korban terhubung ke halaman phishing, proxy terbalik menampilkan formulir login yang sah, meneruskan permintaan, dan mengembalikan tanggapan dari situs web perusahaan.

Ketika korban memasukkan kredensial dan MFA mereka ke halaman phishing, mereka diteruskan ke server platform yang sebenarnya, tempat pengguna masuk, dan cookie sesi dikembalikan. Namun, karena proxy aktor ancaman berada di tengah, ia juga dapat mencuri cookie sesi yang berisi token otentikasi.

“Pelaku ancaman kemudian dapat menggunakan cookie otentikasi ini untuk masuk ke situs sebagai pengguna, melewati perlindungan otentikasi multi-faktor yang dikonfigurasi,” kata peneliti.

Peneliti mengatakan sudah banyak grup APT yang menggunakan proxy terbalik untuk sementara waktu sekarang untuk melewati perlindungan MFA pada akun target, beberapa menggunakan alat khusus mereka sendiri sementara yang lain menggunakan kit yang lebih mudah digunakan seperti Modlishka, Necrobrowser, dan Evilginx2.

Perbedaan antara kerangka kerja phishing ini dan EvilProxy adalah bahwa yang terakhir jauh lebih sederhana untuk digunakan, menawarkan video instruksional dan tutorial yang terperinci, antarmuka grafis yang ramah pengguna, dan banyak pilihan halaman phishing kloning untuk layanan internet populer.

EvilProxy menawarkan GUI yang mudah digunakan di mana pelaku ancaman dapat mengatur dan mengelola kampanye phishing dan semua detail yang mendukungnya. Layanan ini berjanji untuk mencuri nama pengguna, kata sandi, dan cookie sesi, dengan biaya $150 selama sepuluh hari, $250 selama 20 hari, atau $400 untuk kampanye selama sebulan. Serangan terhadap akun Google lebih mahal, $250/450/600. Layanan ini dipromosikan secara aktif di berbagai forum peretasan clearnet dan dark web, operator memeriksa klien, sehingga beberapa calon pembeli kemungkinan besar akan ditolak.

Menurut Resecurity, pembayaran untuk layanan diatur secara individual di Telegram. Setelah setoran dilakukan, pelanggan mendapatkan akses ke portal yang dihosting di jaringan bawang (TOR). Sementara itu, pengujian platform oleh Resecurity mengkonfirmasi bahwa EvilProxy juga menawarkan perlindungan VM, anti-analisis, dan anti-bot untuk menyaring pengunjung yang tidak valid atau tidak diinginkan di situs phishing yang dihosting oleh platform.

“Aktor jahat menggunakan berbagai teknik dan pendekatan untuk mengenali korban dan untuk melindungi kode kit phishing agar tidak terdeteksi,” jelas Resecurity dalam laporan tersebut.

Seperti solusi pencegahan penipuan dan intelijen ancaman siber (CTI), mereka mengumpulkan data tentang layanan VPN yang dikenal, Proksi, node keluar TOR, dan host lain yang dapat digunakan untuk analisis reputasi IP (calon korban).

Untuk saat ini, masalah ini tetap dapat diatasi hanya dengan menerapkan fingerprints TLS sisi klien untuk mengidentifikasi dan memfilter permintaan man-in-the-middle. Namun, status implementasi ini di industri tidak sinkron dengan perkembangan. Oleh karena itu, platform seperti EvilProxy pada dasarnya menjembatani kesenjangan keterampilan dan menawarkan pelaku ancaman tingkat rendah cara yang hemat biaya untuk mencuri akun berharga.