Evilginx2 et les Phishlets : Décortiquer Evilginx2 et l'Art du Reverse Proxy Phishing

 evilginx2

Dans le domaine de la sécurité offensive, l'efficacité repose souvent sur l'innovation. Evilginx2 est un excellent exemple de cette maxime. Conçu en Go, cet outil exploite le concept du Reverse Proxy pour orchestrer des attaques de phishing ultra-réalistes et, surtout, indétectables par les systèmes MFA traditionnels.

Nous détaillerons comment Evilginx2 se positionne comme un intermédiaire transparent entre l'utilisateur et le serveur légitime, comment il utilise des phishlets spécifiques pour chaque cible, et comment il parvient à capturer les cookies de session pour compromettre le compte sans jamais avoir besoin de saisir un code temporaire.

 commande pour installer Evilginx2 sur Linux

sudo apt install evilginx2

Pour commencer, exécutez Evilginx afin que le fichier de configuration soit créé :

Tapez simplement : evilginx2



Tapez `exit` pour quitter la console Evilginx. Une fois le processus lancé, un fichier de configuration sera disponible à l'emplacement suivant : `~/.evilginx/config.json`.

Maintenant que c'est dit, passons aux Phishlets.

1. Installez Phishlets

Les phishlets sont de petits fichiers de configuration utilisés pour configurer Evilginx afin de cibler des sites web spécifiques, dans le but de réaliser des attaques de phishing.

Ces fichiers se trouvent dans le répertoire *phishlets* du binaire Evilginx.
Ils sont au format YAML.

Vous pouvez créer vos propres modèles ou utiliser ceux déjà créés par d'autres membres de la communauté.
Pour cette articles, nous utilisons les modèles de Jeanluck.

https://github.com/jeanlucndato/Evilginx2-Phishlets

Récupérez ce dépôt avec :

git clone https://github.com/jeanlucndato/Evilginx2-Phishlets

Vous n'avez pas Git ? Exécutez : apt-get install git

Nous disposons maintenant d'un ensemble de phishlets utilisables, mais nous devons d'abord les déplacer dans le bon répertoire :

cp -r Evilginx2-Phishlets/* /usr/share/evilginx2/phishlets/

Vérifiez qu'ils ont bien copié en consultant le contenu du dossier phishlets :

ls -l /usr/share/evilginx2/phishlets/

relancer Evilginx :

evilginx2

2. Configurer Phishlet

Dans la console Evilginx, utilisez cette syntaxe pour configurer le phishlet que vous souhaitez utiliser :

phishlets hostname <phishlet name> <hostname>

Exemple:

phishlets hostname o365 login.my-phishing-url.com

REMARQUE : Certains phishings ajoutent automatiquement un préfixe de sous-domaine tel que « login. » ou « academy. » — Vous devrez vous assurer d’avoir configuré des enregistrements A pour ces domaines quel que soit l’endroit où vous hébergez votre serveur EvilGinx.

Ensuite, activez le phishlet

phishlets enable <phishlet name>

Une fois activée, vous devriez voir quelque chose comme ceci :

Si EvilGinx n'a pas pu obtenir de certificat TLS valide, il se peut que vous n'ayez pas configuré d'enregistrement A pour le domaine/sous-domaine approprié. Le domaine complet recherché devrait figurer dans le message d'erreur.

3. Créer un appât

Un leurre est l'URL sur laquelle nous voulons que notre cible clique. Cela crée le lien vers votre page de phishing.

Tapez « lures » pour afficher la liste des leurres disponibles.

Pour en créer un nouveau qui pointe vers le phishlet que nous avons configuré, utilisez la commande suivante :

lures create <phishlet name>

Pour obtenir l'appât, tapez :

lures get-url <lure id>

Voici l'URL que vous devrez utiliser dans votre campagne d'hameçonnage.

4. Lancez-vous dans le phishing !

Vous êtes libre de diffuser l'URL comme vous le souhaitez. Supposons maintenant que votre destinataire ait cliqué sur le lien (ou que vous ayez cliqué dessus pour le tester).

La page d'hameçonnage doit ressembler à la page d'accueil du compte auquel vous essayez d'accéder (le modèle de phishlet que vous avez choisi) :



Une fois que l'utilisateur s'est connecté, vous verrez apparaître son nom d'utilisateur, son mot de passe et son jeton de session :



Pour afficher les jetons de session que vous avez capturés, tapez `sessions`

Pour obtenir le jeton de session, saisissez :

sessions <session id>

Evilginx présentera le jeton de session / cookie :


Pour l'utiliser, ajoutez une extension Cookie Editor à votre navigateur, cliquez sur « importer » et collez le jeton :

Une fois le jeton importé, rechargez la page sur laquelle vous essayez de vous connecter.

Et voilà ! Vous devriez être authentifié en tant qu'utilisateur cible, en contournant complètement l'authentification multifacteur.

ATTENTION : L'intégralité de cet article, y compris les détails techniques, les commandes et les exemples d'exécution, est fournie dans un but strictement ÉDUCATIF et de RECHERCHE EN SÉCURITÉ INFORMATIQUE. Le but est de comprendre les techniques d'attaque avancées (Red Teaming) afin de mieux s'en défendre (Blue Teaming). L'utilisation de ces outils ou techniques sur des systèmes sans autorisation explicite est illégale et strictement interdite. L'auteur et l'éditeur déclinent toute responsabilité en cas d'utilisation abusive ou illégale des informations présentées.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Analyse technique du VLAN Hopping : Switch Spoofing et Double Tagging

Image
Connaissez-vous cette menace qui pèse sur votre réseau ? Les réseaux locaux virtuels (VLAN) sont une technologie essentielle pour segmenter les réseaux et améliorer la sécurité. Cependant, une faille de sécurité connue sous le nom de VLAN hopping peut compromettre cette segmentation. Cette attaque permet à un attaquant situé dans un VLAN d'accéder à des ressources et des informations appartenant à d'autres VLAN, potentiellement critiques. Cet article examine les vulnérabilités qui rendent possible le VLAN hopping et propose des solutions pour renforcer la sécurité des réseaux. Imaginez un immeuble avec plusieurs appartements (les VLAN). Normalement, les habitants d'un appartement ne peuvent pas accéder aux autres. Le VLAN Hopping est comme un cambrioleur qui trouve un moyen de passer d'un appartement à l'autre sans autorisation. Le VLAN Hopping, ou "saut de VLAN" en français, est une technique d'attaque informatique qui permet à un attaquant d'accé...
Lire la suite

🔍 DIRB – Exploration de Répertoires Web

Image
DIRB est un outil open source d’ exploration de répertoires utilisé par les professionnels de la cybersécurité pour découvrir des répertoires et des fichiers cachés sur des sites web ou des serveurs. Il est compatible avec la majorité des systèmes d’exploitation. 🔧 Fonctionnement de DIRB DIRB fonctionne en envoyant des requêtes HTTP automatisées à une cible (site web ou serveur), à l’aide d’un dictionnaire prédéfini (wordlist). Il tente ainsi d’accéder à des chemins ou fichiers non listés directement sur l’interface web, comme par exemple : /admin , /backup.zip , /login.php , etc. Bien que DIRB ne soit pas un outil d’exploitation , il peut révéler des points d’entrée sensibles ou ressources exposées pouvant être utilisées lors d’un test d’intrusion. 🚀 Utilisation de DIRB Après installation (via dépôt de paquets ou compilation manuelle), DIRB peut être lancé avec la commande suivante : dirb http://[adresse IP ou nom de domaine] Cette commande déclenche un scan du site ciblé...
Lire la suite

🔐 Cyberattaques contre Airtel : Réalité Technique, Enjeux et Défenses

Image
  🧭 Introduction Bharti Airtel , fondée en Inde en 1995, est l’un parmis les plus grands opérateurs de télécommunications mobiles et Internet dans le monde. Présente dans 17 pays à travers l’Asie et l’Afrique, l’entreprise fournit des services de téléphonie mobile, accès Internet, fibre optique, télévision numérique , mais aussi des solutions cloud et paiement mobile . Avec une base de plus de 500 millions d’abonnés et une infrastructure numérique interconnectée, c'est normal que Airtel soit une cible stratégique pour les cybercriminels et les groupes APT (Advanced Persistent Threat) , qui cherchent à exploiter les moindres failles dans ses systèmes d’information. Ce rapport propose une lecture technique et factuelle des incidents majeurs signalés ou suspectés, en détaillant les vulnérabilités exploitées, les vecteurs d’attaque observés ainsi que les contre-mesures mises en place pour sécuriser l’écosystème numérique d’un opérateur télécom de cette envergure. 🕒 Chronol...
Lire la suite