EvilProxy网络钓鱼工具包是一种恶意工具，由于它利用了MFA的限制，因此已成为主要参与者。到目前为止，它已经瞄准了100多家公司。Proofpoint的报告强调了账户接管的增加，这与MFA有效性的预期相矛盾。恶意EvilProxy网络钓鱼工具包成为利用MFA限制的关键角色。EvilProxy采用复杂的感染链，利用合法的重定向器和反向代理架构。高层管理人员因其访问敏感数据而成为攻击目标;39%的受感染用户担任C级职位。各组织敦促增强电子邮件、云和网络安全，并考虑更好的身份验证方法，例如基于FIDO的密钥。

网络安全公司Proofpoint最近的报告显示，账户接管事件激增，超出了多因素身份验证(MFA)能够遏制此类事件的预期。该公司的研究表明，过去一年中至少35%的受感染用户配备了MFA保护。威胁行为者似乎已经找到了利用这种防御的方法。

这个故事的主角是被称为EvilProxy的恶意网络钓鱼工具包。随着 MFA 的普及，攻击者采用复杂的方法来绕过这一安全层。EvilProxy是一种基于反向代理的网络钓鱼工具包，在这些努力中占据了中心位置，通过针对数千名用户（包括大量高级管理人员）展示了其强大功能。

攻击方法涉及复杂的多步骤感染链。网络钓鱼电子邮件通常冒充DocuSign和Adob​​e等受信任的服务，包含恶意链接，这些链接会通过迷宫般的合法重定向程序（包括YouTube、恶意Cookie和404重定向）来重定向用户。该活动的核心在于EvilProxy的反向代理架构。该套件拦截MFA请求，获取有效的会话cookie，并利用它们在实际域中进行身份验证。

这次活动的引人注目之处在于攻击者在目标定位方面的歧视。他们优先考虑高层管理人员，因为他们有可能访问敏感数据和金融资产。Proofpoint的研究表明，在众多受感染的用户中，大约39%的人担任C级高管职位，其中17%的人担任首席财务官，9%的人担任总裁和首席执行官。

一旦攻击者获得访问权限，他们的攻击后活动包括在组织的云环境中建立持久性。他们利用Microsoft 365应用程序进行MFA操作，进一步巩固了他们的控制权。这种持久访问为横向移动和潜在恶意软件部署开辟了途径。

Proofpoint的调查结果让人们关注网络威胁的不断演变，强调即使是最安全的防御也可能被智取。EvilProxy作为此类攻击的首选工具的崛起暴露了组织防御策略中的关键漏洞。随着过去六个月针对高层管理人员的云帐户接管事件增加了100%，攻击者和防御者之间的战斗持续升级。

敦促组织通过关注电子邮件安全、云安全、网络安全和用户意识，并考虑采用更好的身份验证方法（例如基于FIDO的物理安全密钥）来加强对这些高级混合威胁的防御。