Il s’appelle EvilProxy et il peut prétendument déjouer toutes les protections de sécurité mises en place pour prévenir les cyberattaques. Cet outil de piratage, nouvellement entré dans la cour des grands, a pour vocation de faciliter l’accès aux sites et services en ligne les plus populaires, ce en contournant n’importe quel compte actif.
L'opérateur à l'origine de cet instrument affirme être capable de voler les jetons d'authentification nécessaires pour contourner les systèmes d'authentification multifactorielle (MFA) utilisés par des sociétés comme Apple, Google, Facebook, Microsoft et Twitter.
Cet outil est particulièrement inquiétant car il se révèle simple d’usage, y compris pour des pirates néophytes qui n'ont pas les compétences ni les connaissances précises nécessaires pour attaquer des cibles aussi importantes.
Comment EvilProxy fonctionne ?
EvilProxy a été découvert par la société de sécurité Resecurity. Celle-ci définit l’outil (également connu sous le nom de Moloch) comme une plateforme de Phishing-as-a-Service (PaaS) à proxy inverse, dont la publicité intensive s’étend sur le dark web.
Elle propose de dérober des noms d'utilisateur, des mots de passe et des cookies de session, pour un coût de 150 $ moyennant dix jours d’utilisation, 250 $ pour 20 jours ou 400 $ pour un abonnement mensuel.
Les proxys inverses se positionnent généralement entre le site web ciblé et un formulaire d'authentification en ligne. EvilProxy piège ses victimes à l'aide de leurres, les amenant sur une page légitime où il leur est demandé de saisir des informations de connexion et d'authentification. Ces données sont ensuite envoyées au site web légitime, ce qui permet de se connecter et de générer un cookie de session contenant un jeton d'authentification, envoyé à la victime.
Toutefois, ce cookie et le jeton d'authentification peuvent ensuite être détournés par le proxy inverse qui, comme indiqué, se trouve entre l'utilisateur et le site web légitime. Les pirates informatiques peuvent alors utiliser ce jeton pour se connecter au site en se faisant passer pour leur victime, sans avoir à saisir à nouveau les informations du processus d'authentification multifacteurs.
Resecurity souligne qu'en dehors de l'intelligence de l'attaque elle-même, plus simple à déployer que d'autres attaques man-in-the-middle (MITM), ce qui distingue EvilProxy reste son approche conviviale. Après l'achat, les clients reçoivent des vidéos d'instruction et des didacticiels détaillés sur l'utilisation de l'outil, qui dispose d'une interface graphique claire et ouverte permettant à ses "clients" de configurer et de gérer leurs campagnes de phishing.
Il propose également une bibliothèque de pages d'hameçonnage clonées sur des services en ligne populaires, qui, outre les noms mentionnés ci-dessus, reproduisent des marques telles que GitHub, Dropbox, Instagram ou encore Yahoo.
"La location d'EvilProxy nécessite un apprentissage rapide, les cybercriminels disposent ensuite d'une solution rentable et évolutive pour réaliser des campagnes de phishing avancées, visant à compromettre les consommateurs de services en ligne populaires dont l’authentification multifacteurs est activée", détaille Resecurity.
- Meilleurs gestionnaires de mots de passe : protégez plus efficacement vos identités numériques
- Meilleurs antivirus en ligne : quel service de sécurité basé sur le cloud est le plus fiable
- Voici les meilleurs navigateurs web de 2022
Via BleepingComputer
