Phishing napadi nastavljaju da evoluiraju, dovodeći čak i najnaprednije metode autentifikacije do njihovih granica. Prvi put oglašen na cyber kriminalnim mrežama krajem januara 2025. godine, Astaroth je potpuno novi phishing kit koji zaobilazi dvofaktorsku autentifikaciju (2FA) kroz otmicu sesije i presretanje kredecijala u realnom vremenu.
Astaroth koristi reverzni proxy u stilu evilginx-a za presretanje i manipulaciju saobraćajem između žrtava i legitimnih servisa za autentifikaciju poput Gmaila, Yahooa i Microsofta. Djelujući kao posrednik, hvata login podatke, tokene i sesijske kolačiće u realnom vremenu, efikasno zaobilazeći 2FA.
Šta čini Astaroth jedinstvenim?
Astaroth se razlikuje time što ne samo da presreće prijavne podatke, već i brzo hvata 2FA autentifikacione tokene i sesijske kolačiće čim budu generisani. Ovo presretanje u realnom vremenu, omogućeno reverznim proxy mehanizmom, omogućava napadačima da zaobiđu 2FA zaštitu nevjerovatnom brzinom i preciznošću.
Nasuprot tome, tradicionalni phishing alati obično koriste statične lažne stranice za prijavu koje hvataju samo osnovne kredencijale, često ostavljajući 2FA sloj netaknutim. Presretanjem svih podataka za autentifikaciju u realnom vremenu, Astaroth značajno podiže nivo prijetnje, čineći uobičajene phishing metode i njihove sigurnosne mjere uglavnom neučinkovitima.
Kako Astaroth funkcioniše
Nakon što smo predstavili Astaroth i istakli njegov inovativni pristup zaobilaženju tradicionalnih sigurnosnih mjera, pogledajmo detaljno kako ovaj phishing kit funkcioniše u kontekstu napada. Napad započinje kada žrtva klikne na phishing URL, koji je preusmjerava na maliciozni server koji funkcioniše kao reverzni proxy. Ovaj server oponaša izgled i funkcionalnost ciljanog domena, dok u isto vrijeme prenosi saobraćaj između žrtve i legitimne stranice za prijavu.
Slika: Primjer onoga što bi žrtva vidjela
Pošto su SSL certifikati izdani za phishing domen, žrtva ne vidi nikakva sigurnosna upozorenja i vjeruje da se nalazi na pravoj stranici. Astaroth prosljeđuje korisničke zahtjeve pravom servisu, dok istovremeno neprimjetno presreće odgovore i osjetljive podatke. Kada žrtva unese svoje prijavne podatke (korisničko ime i lozinku), string korisničkog agenta i IP adresu na phishing stranici, Astaroth ih hvata prije nego što proslijedi zahtjev pravom serveru. Korisnički agent i IP adresa omogućavaju napadačima da repliciraju okruženje sesije žrtve i smanje rizik od otkrivanja prilikom prijave.
Slika: Primjer onoga što bi žrtva i napadač vidjeli
Pošto je 2FA uvijek uključen (npr. putem SMS kodova, autentifikacionih aplikacija ili push notifikacija), Astaroth automatski presreće unos 2FA tokena u realnom vremenu. Takođe osigurava da svaki token koji žrtva unese bude odmah presretnut—napadač odmah dobija obavijest putem web panela i Telegram notifikacija.
Slika: Web panel napadača koji pohranjuje informacije o sesiji
Završni korak uključuje hvatanje sesijskih kolačića, koje izdaje legitimni server nakon uspješne autentifikacije. Astaroth ih presreće i dostavlja napadaču, koji ih može ubaciti u svoj pretraživač pomoću ručnih izmjena zaglavlja ili alata poput Burp Suite-a. Ovo potpuno zaobilazi 2FA—daljnje prijavne informacije nisu potrebne jer je sesija već autentifikovana.
Pored osnovnih metoda presretanja, Astaroth uključuje dodatne funkcionalnosti osmišljene da poboljšaju njegovu dugovječnost i atraktivnost za cyber kriminalce. Sljedeći dio dublje ulazi u ove karakteristike i njihovu ulogu u širem phishing ekosistemu.
Ključne karakteristike
Neke od njegovih glavnih karakteristika uključuju prilagođene opcije hostinga, poput “bulletproof hostinga”, koji mu pomaže da odoli pokušajima uklanjanja od strane zakona i osigura dugoročnu dostupnost njegove infrastrukture. Ovo omogućava cyber kriminalcima da hostuju svoje operacije u jurisdikcijama sa ograničenom saradnjom sa zapadnim vlastima.
Za 2.000 dolara, korisnici dobijaju šest mjeseci kontinuiranih ažuriranja, čime stiču pristup najnovijim poboljšanjima i tehnikama zaobilaženja zaštita. Kako bi izgradio povjerenje, Astaroth nudi testiranje prije kupovine, prikazujući svoju legitimnost na cyber kriminalnim tržištima. Prodavac je izuzetno transparentan, otvoreno dijeleći detalje o tome kako phishing kit funkcioniše, uključujući tehnike za zaobilaženje reCAPTCHA i BotGuard zaštita. Ovaj nivo otvorenosti osmišljen je kako bi privukao i iskusne napadače i početnike, rješavajući uobičajene probleme s ručnim phishing postavkama.
Slika: Prodavac dijeli informacije o testiranju kompleta za krađu identiteta
Na kraju, Astaroth se prvenstveno distribuiše putem Telegrama i promoviše na cyber kriminalnim forumima i tržištima. Nažalost, dostupnost ovih platformi, u kombinaciji s anonimnošću koju pružaju, otežava provođenje zakona praćenje i ometanje njegove prodaje.
Zaštitite se uz SlashNext
SlashNext može pomoći u zaštiti od raznih phishing kitova, uključujući Astaroth. SlashNext Complete™ je sveobuhvatna sigurnosna platforma za zaštitu cloud poruka koja pruža 99,99% tačnu detekciju prijetnji u realnom vremenu za web, mobilne i e-mail aplikacije za razmjenu poruka.
Zaštitom e-mailova, pretraživača i mobilnih komunikacija, SlashNext štiti poslovanja od finansijskih prevara i krađe podataka. Naš napredni pristup pruža zaštitu od novih phishing prijetnji, uključujući one koje koriste složene taktike.
Izvor:SLASHNEXT
