By Milan Solnický 
8. prosince 2025
Phishingová kampaň, která trvala několik měsíců, použila nástroj „Evilginx“ ke konkrétnímu ohrožení vícefaktorové autentizace (MFA) na několika amerických univerzitách. Podle zprávy od Infoblox Threat Intelligence (ITI) útočníci operovali v síti více než 70 domén a zaměřovali se na studenty a zaměstnance známých univerzit, včetně University of California a University of Michigan.
Evilginx je populární open source framework, který umožňuje takzvané „adversary-in-the-middle“ (AiTM) útoky. To zahrnuje zachycení přihlašovacích údajů a krádež cookies relace, což útočníkům umožňuje převzít uživatelské účty – a to i v prostředích, kde je aktivní vícefaktorová autentizace.
Mezi nejvíce postižené univerzity patří University of California Santa Cruz, University of California Santa Barbara, University of San Diego, Virginia Commonwealth University a University of Michigan. Německé univerzity také v posledních letech masivně trpěly kybernetickými útoky – od Tisíce pokusů o phishing a DoS každý den až do úspěšné ransomwarové útoky.
Klíčová zjištění z aktuální analýzy ITI:
- Únos studentských účtů společností Evilginx: Útočník použil Evilginx (pravděpodobně verze 3.0), který napodobuje skutečné přihlašovací toky a krade soubory cookie relace, což umožňuje převzetí účtu i s povoleným MFA.
- Analýza DNS odhaluje 70 připojených domén: Navzdory krátkodobým adresám URL a zmatku prostřednictvím Cloudflare byly identifikovány jedinečné vzory DNS. Infoblox zrekonstruoval přibližně 70 domén, které byly aktivní od dubna do listopadu 2025.
- Cílené phishingové e-maily studentům: Dotčené osoby obdržely personalizované odkazy TinyURL, které vedly k klamavě skutečným kopiím příslušných portálů SSO – včetně prvků univerzitní značky a jednotlivých subdomén.
- Pokročilé obfuskační techniky: Proxy Cloudflare, adresy URL s krátkou životností a mechanismy reverzních proxy výrazně ztížily detekci pomocí bezpečnostních řešení a zakryly skutečný původ infrastruktury.
Vyšetřování bylo zahájeno poté, co bezpečnostní expert z postižené univerzity nahlásil podezřelou aktivitu přihlašování. Tento tip od komunity umožnil výzkumníkům navázat spojení mezi více vysokoškolskými prostředími a odhalit kampaň, která zůstala měsíce bez povšimnutí.
„Univerzity zůstávají oblíbeným cílem kyberzločinců, kteří věnují malou pozornost poškození nebo hodnotě postižených systémů,“ vysvětluje Dr. Renée Burton, viceprezidentka Infoblox Threat Intel. „V jednom obzvláště tragickém případě útočníci infiltrovali University of Washington a kompromitovali systémy Burke Museum of Natural History. Během tohoto procesu byla zničena část digitálního archivu zvířecích a rostlinných exemplářů – neocenitelné bohatství znalostí, vytvořené během let dobrovolnické práce, bylo částečně nenávratně ztraceno.“
Infoblox nadále monitoruje aktivity aktérů, kteří neustále přizpůsobují svou infrastrukturu a postupy.
Zajímavé také:
Obrázek/Zdroj: https://depositphotos.com/de/home.html
Sledujte nás na X
Sledujte nás na Bluesky
Sledujte nás na Mastodonu
Hamster Wheel Rebel – Cyber Talk