新的EvilProxy網絡釣魚服務，允許網絡罪犯繞過雙因素安全

一種新的網絡釣魚即服務（PhaaS）工具包被稱為“邪惡代理”（EvilProxy），正在地下犯罪網絡上宣傳，作為威脅行為體繞過針對在線服務的雙因素身份驗證（2FA）保護的一種手段。

ReseSecurity研究人員在周一的一份報告中表示：“邪惡代理參與者正在使用反向代理和cookie注入方法繞過2FA身份驗證，代理受害者的會話”。

該平臺生成的網絡釣魚鏈接只是克隆頁面，旨在危害與蘋果iCloud、Facebook、GoDaddy、GitHub、谷歌、Dropbox、Instagram、微軟、NPM、PyPI、RubyGems、Twitter、雅虎和Yandex等相關的用戶帳戶。

EvilProxy類似于中間對手（AiTM）攻擊，因為用戶與惡意代理服務器交互，該服務器充當目標網站的中間人，秘密獲取登錄頁面中輸入的憑證和2FA密碼。

每項服務以訂閱的方式提供，時間為10天、20天或31天，該套件每月400美元，在通過Telegram與運營商手動安排付款后，通過TOR匿名網絡訪問。相比之下，攻擊谷歌賬戶每月的費用高達600美元。

邪惡代理（網絡釣魚即服務）-Vimeo上ReseSecurity的Google 2FA。

“激活后，運營商將被要求提供SSH憑據，以進一步部署Docker容器和一組腳本，”ReseSecurity說，并補充說，這項技術與今年早些時候曝光的另一個名為Frappo的PhaaS服務類似。

盡管向潛在客戶出售EvilProxy需要經過參與者的審查，但不用說，該服務提供了一個“成本效益高且可擴展的解決方案”，以實施社會工程攻擊。

這一發展進一步表明，對手正在升級他們的攻擊武器庫，以精心策劃以用戶為目標的復雜網絡釣魚活動，從而擊敗現有的安全保障措施。

更令人擔憂的是，針對面向公眾的代碼和包存儲庫（如GitHub、NPM、PyPI和RubyGems）的目標表明，運營商也旨在通過此類操作促進供應鏈攻擊。

獲得對賬戶的未經授權訪問，并將惡意代碼注入受信任的開發人員廣泛使用的項目，可能是威脅行為體的金礦，大大擴大了活動的影響。

研究人員說：“參與者很可能以軟件開發人員和It工程師為目標，以獲取他們的存儲庫，最終目標是破解‘下游’目標”。