Af Henrik Jensen, 08/09/22
Der er nu dukket en ny tjeneste op kaldet "EvilProxy", som stjæler sessionscookies for at omgå MFA og kompromittere konti og vil gøre livet lidt lettere for de cyberkriminelle. EvilProxy blev konstateret første gang i begyndelsen af maj 2022 og er blevet brugt i angreb mod flere ansatte i virksomheder. EvilProxy underminerer MFA, som betragtes som de-facto standarden til at beskytte virksomheden mod uautoriseret indsigt i medarbejderes konti.
EvilProxy bruger 'session hijack', som især anvendes af APT-grupper og andre cyberspionagegrupper. Angrebet går ud på, at stjæle en sessionscookie (en sessionscookie er informationer, der lagres af webbrowseren, og som eksempelvis lader en bestemt tjeneste/service vide, at nogen er godkendt).
Med en sessionscookie i hånden kan en angriber få adgang til en tjeneste/service, som den autoriserede bruger ville gøre, dog uden offerets legitimationsoplysninger eller MFA-token. Der er nu udviklet en 'cookie-aflytnings-funktionalitet', som bliver pakket ind i et letanvendeligt phishing-kit, der sælges på abonnementsbasis på Dark web, hvilket ganske givet vil appelere til mange cyberkriminelle.
Flere prominente ofre
EvilProxy bliver angiveligt allerede brugt med succes mod brugere af tjenester, herunder Apple, Microsoft og GitHub. Den kan også konfigureres til at målrette mod andre tjenester, herunder Google, Apples iCloud, Dropbox, LinkedIn, Yandex, Facebook, Twitter, Yahoo og WordPress. Kittet også i stand til at målrette mod brugere af tjenester, der normalt opererer i softwareforsyningskæden, inklusive GitHub, Python Package Index, RubyGems og NPM, en JavaScript-pakkemanager.
Der kan derfor kun rådes til, at man nøje overvejer sin fremtidige MFA-implementering i virksomheden eller at kvalitetssikre allerede opsatte MFA-løsninger.
Link
https://www.bankinfosecurity.com/cybercriminal-service-evilproxy-seeks-to-hijack-accounts-a-19993