EvilProxy көпфакторлы аутентификациямен (МФА) қорғалған аккаунттарға фишингтік шабуылдар жасау үшін жетекші платформалардың бірі ретінде өз орнын нығайта түсуде. Proofpoint компаниясының зерттеушілері 100-ден астам ұйымға Microsoft 365 аккаунттарын бұзу мақсатында 120 000-ға жуық фишингтік электрондық хат жіберілгенін анықтады. EvilProxy механизмі өте қарапайым: әлеуетті құрбан фишингтік бетке түскенде, кері прокси оған жалған кіру формасын көрсетеді, сұрауларды бағыттайды және компанияның нақты веб-сайтынан жауаптарды қайтарады. Құрбан өзінің кіру деректерін және МФА кодын фишингтік бетке енгізгенде, бұл деректер компанияның нақты серверіне жіберіледі, ал жауап ретінде куки файлы қайтарылады. Нәтижесінде, зиянкестер аутентификация токені бар куки файлын ұрлай алады. Осыдан кейін токенді құрбанның атынан сайтқа кіру үшін қолдануға болады, бұл көпфакторлы аутентификацияны айналып өтуге мүмкіндік береді. 2022 жылдың күзінде Resecurity компаниясының мамандары EvilProxy жазылымының құны айына 400 доллардан басталатынын және бұл қызметтің Apple, Google, Microsoft, Twitter, GitHub, GoDaddy, PyPI, Facebook, Yahoo, "Яндекс" және басқа платформалардағы МФА-ны айналып өтуге арналған аутентификация токендерін алуға мүмкіндік беретінін мәлімдеді. Proofpoint зерттеушілері 2023 жылдың наурыз айында анықтаған фишингтік шабуылдардың жаңа толқыны EvilProxy-ді пайдалана отырып, Adobe, DocuSign және Concur сияқты танымал брендтердің атын жамылып, фишингтік электрондық хаттарды жіберуде. "Proofpoint мәліметінше, бұл жолы зиянкестер өз нысандарын өте мұқият таңдап, аккаунттарды басып алу кезеңін оңтайландыруда. Олар корпоративтік иерархиядағы маңызы төмен қызметкерлерді дерлік елемей, VIP нысандарды шабуылдауды жөн көреді. Зардап шеккен аккаунттардың 39%-ы жоғары деңгейдегі басшыларға, 9%-ы атқарушы директорлар мен вице-президенттерге, 17%-ы қаржы директорларына тиесілі, ал қалғандары қаржылық активтерге немесе құпия ақпаратқа қол жеткізе алатын қызметкерлер болып табылады." "Егер құрбан зиянды хаттағы сілтемені басса, ол YouTube немесе SlickDeals сияқты бірнеше қайта бағыттаудан өтіп, соңында EvilProxy фишингтік бетіне түседі. Бұл бет Microsoft 365 кіру бетіне арналған кері проксиді пайдаланады және ықтимал құрбанның ұйымына бейімделген, сондықтан күмән тудырмайды. Microsoft 365 аккаунты сәтті бұзылғаннан кейін, зиянкестер өздерінің МФА әдісін (әдетте, Authenticator қолданбасы арқылы) қосып, аккаунтта тұрақты болуға тырысады."