Os hackers estão recorrendo ao Evilginx, uma poderosa ferramenta de adversário intermediário, para contornar a autenticação multifatorial e assumir o controle de contas na nuvem.
A estrutura atua como um proxy reverso entre a vítima e as páginas reais de logon único, de modo que a tela de login se parece e se comporta exatamente como a tela real.
Para o usuário, o site falso parece normal, com TLS válido e marca familiar. Os invasores começam com e-mails de phishing direcionados que levam as vítimas a portais de SSO falsos cuidadosamente elaborados.
Essas páginas copiam o layout, os scripts e os fluxos de plataformas de identidade comuns, incluindo gateways SSO corporativos. Depois que o usuário insere as credenciais e conclui a MFA, o Evilginx captura silenciosamente cookies e tokens de sessão enquanto passa o tráfego para o provedor real.
Isso mostra a retransmissão preparada da vítima para o provedor de identidade. Os analistas de segurança da Infoblox identificaram campanhas recentes em que o Evilginx foi usado para imitar sites corporativos legítimos de SSO e roubar tokens para plataformas de e-mail e colaboração.
Uma linha do tempo de ataques de phishing SSO contra instituições de ensino superior (Fonte – Infoblox)
Eles observaram que os cookies roubados permitem que os invasores reproduzam sessões sem nunca mais precisar de senhas ou códigos MFA. Isso transfere o risco do clássico roubo de credenciais para o sequestro de sessão completa.
O impacto é sério tanto para empresas quanto para usuários. Com um token de sessão ativo, os invasores podem ler e-mails, redefinir senhas em aplicativos vinculados, implantar novos métodos de MFA e implantar acesso backdoor.
Análise de ataque
Isso pode levar ao comprometimento do e-mail comercial, ao roubo de dados e ao acesso furtivo de longo prazo que é difícil de rastrear desde o primeiro clique de phishing. Por outro lado, o fluxo de ataque mostra como os cookies roubados desbloqueiam serviços downstream.
Fluxo de ataque (Fonte – Infoblox)
Um foco principal na análise técnica completa é como o Evilginx evita a detecção durante esse processo.
A estrutura encaminha todo o conteúdo do site SSO real, incluindo scripts, estilos e prompts dinâmicos, o que torna as verificações visuais tradicionais quase inúteis.
Ele também usa certificados reais em domínios semelhantes, para que os cadeados do navegador ainda pareçam verdes e reconfortantes.
Nos bastidores, o Evilginx faz proxy e reescreve cabeçalhos para manter a sessão ativa enquanto remove cookies confidenciais para roubo.
Um phishlet simples e de alto nível pode ter a seguinte aparência: –
nome_servidor login.exemplo.com; proxy_pass https://login.real-sso.com; proxy_set_header Host login.real-sso.com;
Ao registrar cookies na camada proxy, os invasores capturam os dados da sessão antes que eles sejam protegidos pelo dispositivo do usuário ou pelas ferramentas corporativas.
Universidades visadas pelo ator Evilginx (Fonte – Infoblox)
Isso mostra como os cabeçalhos e cookies fluem pelo proxy, destacando os pontos onde os tokens são interceptados.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
