Evilginx, uno strumento basato sul server web open-source nginx (ampiamente utilizzato), può essere utilizzato per rubare nomi utente, password e token di sessione, consentendo a un aggressore di bypassare potenzialmente l’autenticazione a più fattori (MFA). In questo post illustreremo il funzionamento di evilginx e le informazioni che è in grado di acquisire, nonché i consigli per rilevare l’uso di questo strumento e le potenziali contromisure per contrastarne l’utilizzo.
Ecco come funziona
Evilginx si avvale del server web legittimo e popolare nginx per inoltrare il traffico web attraverso siti dannosi creati dall’aggressore per simulare servizi reali come Microsoft 365; si tratta di un attacco Adversary-in-the-Middle (AitM). Per dimostrarlo, abbiamo configurato un dominio dannoso; come mostrato nella Figura 1, abbiamo un phishlet Microsoft con il proprio sottodominio appartenente a quel dominio. (Tutti gli indirizzi IP, i nomi utente, le password e i domini utilizzati in questo post sono stati disattivati prima della pubblicazione). Il phishlet include un’esca, ovvero ciò che l’utente preso di mira vede quando l’aggressore tenta di carpire il suo nome utente e la sua password.
Continua a leggere l’articolo.
Lascia un commento