Être conscient: Cet outil de piratage brutal pourrait voler pratiquement toutes vos connexions

La nouvelle plate-forme EvilProxy pourrait renverser MFA sur des sites populaires

Un nouvel outil de piratage peut soi-disant battre toutes les protections de sécurité mises en place pour empêcher les cyberattaques et accéder à certains des sites Web les plus populaires au monde, suggèrent des rapports.

L'opérateur derrière l'outil EvilProxy affirme qu'il est capable de voler les jetons d'authentification nécessaires pour contourner les systèmes d'authentification multi-facteurs (MFA) utilisés par Apple, Google, Facebook, Microsoft et Twitter.

Le service est particulièrement préoccupant car il promet de mettre ces attaques à la disposition de tous les pirates, même ceux qui n'ont peut-être pas les compétences ou les connaissances précises nécessaires pour attaquer des cibles aussi importantes.

Menace d'hameçonnage

L'outil a été découvert par la société de sécurité Resecurity(s'ouvre dans un nouvel onglet), qui note qu'EvilProxy (également connu sous le nom de Moloch) est une plate-forme de phishing-as-a-service (PaaS) à proxy inverse annoncée sur le dark web.

Il propose de voler des noms d'utilisateur, des mots de passe et des cookies de session, pour un coût de 150 $ pour dix jours, 250 $ pour 20 jours ou 400 $ pour une campagne d'un mois - bien que les attaques contre les attaques de Google coûteront plus cher, à 250 $, 450 $ et 600 $ respectivement.

Les proxys inverses se situent généralement entre un site Web et une certaine forme de point de terminaison d'authentification en ligne, comme une page de connexion. EvilProxy trompe ses victimes à l'aide de leurres de phishing , les amenant sur une page légitime où il leur est demandé de saisir des identifiants de connexion et des informations MFA. Ces données sont ensuite envoyées au site Web légitime prévu, les connectant et générant également un cookie de session contenant un jeton d'authentification, qui est envoyé à la victime.

Cependant, ce cookie et le jeton d'authentification peuvent ensuite être volés par le proxy inverse, qui, comme indiqué, est situé entre l'utilisateur et le site Web légitime. Les attaquants peuvent ensuite utiliser ce jeton pour se connecter au site en se faisant passer pour leur victime, évitant ainsi d'avoir à saisir à nouveau des informations sur le processus MFA.

Resecurity note qu'en dehors de l'intelligence de l'attaque elle-même, qui est plus simple à déployer que les autres attaques de l'homme du milieu (MITM), ce qui distingue également EvilProxy, c'est son approche conviviale. Après l'achat, les clients reçoivent des vidéos d'instructions détaillées et des tutoriels sur la façon d'utiliser l'outil, qui dispose d'une interface graphique claire et ouverte où les utilisateurs peuvent configurer et gérer leurs campagnes de phishing.

Il propose également une bibliothèque de pages de phishing clonées existantes pour les services Internet populaires, qui, avec les noms mentionnés ci-dessus, incluent GoDaddy , GitHub, Dropbox , Instagram, Yahoo et Yandex.

"Alors que la vente d'EvilProxy nécessite une vérification, les cybercriminels disposent désormais d'une solution rentable et évolutive pour effectuer des attaques de phishing avancées afin de compromettre les consommateurs de services en ligne populaires avec MFA activé", a noté Resecurity.