Bilgisayar korsanları, çok faktörlü kimlik doğrulamayı aşmak ve bulut hesaplarını ele geçirmek için güçlü bir ortadaki rakip aracı olan Evilginx’e yöneliyor.
Çerçeve, kurban ile gerçek tek oturum açma sayfaları arasında ters proxy görevi görür, böylece oturum açma ekranı tıpkı gerçeği gibi görünür ve davranır.
Geçerli TLS ve tanıdık markalama özellikleriyle sahte site, kullanıcıya normal geliyor. Saldırganlar, kurbanları dikkatle hazırlanmış sahte SSO portallarına yönlendiren hedefli kimlik avı e-postalarıyla başlar.
Bu sayfalar, kurumsal SSO ağ geçitleri de dahil olmak üzere ortak kimlik platformlarının düzenini, komut dosyalarını ve akışlarını kopyalar. Kullanıcı kimlik bilgilerini girdikten ve MFA’yı tamamladıktan sonra Evilginx, trafiği gerçek sağlayıcıya aktarmaya devam ederken oturum çerezlerini ve belirteçlerini sessizce yakalar.
Bu, kurbandan kimlik sağlayıcıya giden aşamalı geçişi gösterir. Infoblox güvenlik analistleri, Evilginx’in meşru kurumsal SSO sitelerini taklit etmek ve e-posta ve işbirliği platformları için belirteçleri çalmak için kullanıldığı son kampanyaları tespit etti.
.webp)
Çalınan çerezlerin, saldırganların bir daha şifrelere veya MFA kodlarına ihtiyaç duymadan oturumları tekrar oynatmasına olanak tanıdığını belirttiler. Bu, riski klasik kimlik bilgisi hırsızlığından tam oturumun ele geçirilmesine kaydırır.
Etkisi hem şirketler hem de kullanıcılar açısından ciddi. Saldırganlar, etkin bir oturum belirteciyle postaları okuyabilir, bağlantılı uygulamalardaki parolaları sıfırlayabilir, yeni MFA yöntemlerini dağıtabilir ve arka kapı erişimi kurabilir.
Saldırı analizi
Bu, iş e-postasının ele geçirilmesine, veri hırsızlığına ve ilk kimlik avı tıklamasına kadar izini sürmenin zor olduğu uzun vadeli gizli erişime yol açabilir. Buna karşılık, saldırı akışı, çalınan çerezlerin alt hizmetlerin kilidini nasıl açtığını gösterir.
.webp)
Teknik analizin tamamında odaklanılan önemli noktalardan biri, Evilginx’in bu süreç sırasında tespit edilmekten nasıl kurtulduğudur.
Çerçeve, komut dosyaları, stiller ve dinamik istemler dahil olmak üzere tüm içeriği gerçek SSO sitesinden iletir ve bu da geleneksel görsel kontrolleri neredeyse işe yaramaz hale getirir.
Aynı zamanda benzer alanlarda gerçek sertifikalar kullandığından tarayıcı asma kilitleri hala yeşil ve güven verici görünüyor.
İşin özünde Evilginx, hırsızlığa karşı hassas çerezleri ayıklarken oturumu canlı tutmak için başlıkları proxy olarak kullanıyor ve yeniden yazıyor.
Basit, üst düzey bir kimlik avı şöyle görünebilir: –
server_name login.example.com;
proxy_pass https://login.real-sso.com;
proxy_set_header Host login.real-sso.com;Saldırganlar, çerezleri proxy katmanına kaydederek, oturum verilerini kullanıcının cihazı veya kurumsal araçlar tarafından korunmadan önce ele geçirir.
.webp)
Bu, başlıkların ve çerezlerin proxy üzerinden nasıl aktığını gösterir ve jetonların ele geçirildiği noktaları vurgular.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
