Преимущества DeFi
Evilginx — фреймворк для фишинга типа «человек-посередине» (AiTM), созданный в 2018–2019 годах разработчиком Кубой Гретцки и сообществом BREAKDEV, предназначенный для перехвата сессионных cookie и обхода многофакторной аутентификации. Он появился как ответ на широкое распространение MFA, которое сделало классический фишинг менее эффективным: злоумышленникам потребовались инструменты, позволяющие получить рабочую сессию после прохождения пользователем всех этапов аутентификации. Хотя Evilginx разрабатывался как инструмент для безопасности и red-team-тестирования, он быстро стал популярным в киберпреступном сегменте: конфигурации, готовые phishlet-файлы и услуги по настройке начали продаваться в закрытых Telegram-каналах, на форумах и в даркнет-маркетплейсах. Перехваченные сессии нередко используются вместе с ботнетами, RaaS-решениями, фишинг-комбайнами, а прибыль затем отмывается через миксеры, криптовалютные биржи и теневые сервисы, связывая техникy AiTM с теневой экономикой. Принцип работы Evilginx основан на обратном проксировании: жертва открывает фишинговый домен, который проксирует запросы к настоящему сайту, полностью сохраняя внешний вид оригинала. Прокси фиксирует логины, формы, токены, куки и выдает пользователю подлинную страницу, позволяя атакующему использовать перехваченную сессию. Ключевой элемент — phishlet, конфигурация, задающая правила перехвата контента, редиректов, URL и механики обработки cookie, что обеспечивает гибкость под любые сервисы. Поскольку MFA не защищает сессию, если куки уже действительны, инструмент позволяет обходить 2FA, push-подтверждения и SMS-коды. Однако атаки оставляют технические следы: несовпадающие TLS/JA3-отпечатки, аномальные заголовки, подозрительные домены и временные параметры cookie. Эти индикаторы используются системами SOC, антифишинговыми решениями и механизмами условного доступа. Evilginx используется как легитимными командами red-team для моделирования атак, так и злоумышленниками для взлома корпоративной почты, соцсетей, облаков, банковских кабинетов, вывода средств через криптооперации, продажи доступов и интеграции с вредоносным ПО и эксплойт-цепочками. Методы защиты включают аппаратные ключи, FIDO2/WebAuthn, которые не передают переносимые токены; условный доступ с проверкой IP, устройства и географии; анализ TLS-отпечатков; жесткую привязку сессий; ограничение их срока жизни; многоступенчатое подтверждение критичных действий; обучение сотрудников, проверку URL и улучшение OPSEC. В перспективе техники AiTM будут развиваться и усложняться: phishlet-наборы станут более адаптивными, атаки — более скрытными, а анонимные каналы и сервисы даркнета — ещё плотнее интегрированы с такими инструментами. Параллельно усилится развитие криптографических форм аутентификации, автоматизация детектирования прокси-трафика и сотрудничество с правоохранительными структурами, что создаст постоянную гонку между атакующими и защитными технологиями.
Основные ссылки:
Evilginx — https://whispwiki.cc/wiki/evilginxdarknet атаки — https://whispwiki.cc/wiki/kiberataka
whispwiki.cc™ 2025 — SOC детектирование
Кибершпионаж остаётся одной из самых труднообнаружимых угроз. Рекурсивные DNS-серверы обрабатывают пользовательские запросы. Кеш делает интернет-сервисы стабильнее. |
47743963