A ferramenta Evilginx, desenvolvida pelo pesquisador polonês Mariusz Banach e disponibilizada como open-source no GitHub desde 2017, é um framework de phishing capaz de contornar autenticação de dois fatores (2FA) por meio de técnica conhecida como reverse proxy. A solução ganhou notoriedade ao demonstrar que senhas únicas e tokens gerados por aplicativos como Google Authenticator podem ser interceptados em ataques man-in-the-middle, exppondo milhões de contas protegidas por mecanismos considerados robustos.

Pontos-chave

  • Framework open-source de phishing lançado em 2017 por Mariusz Banach
  • Contorna 2FA via reverse proxy e captura de cookies de sessão
  • Permite criar páginas de login idênticas às de bancos, Google e Microsoft
  • Versão 2 lançada em 2018 trouxe suporte a phishlets modulares
  • Adotado por grupos criminosos em campanhas contra usuários de bancos brasileiros

O que é o Evilginx

O Evilginx é um servidor de phishing com arquitetura de reverse proxy desenvolvido pelo pesquisador de segurança polonês Mariusz Banach, conhecido na comunidade pelo pseudônimo m8r0wn. Lançado em 2017 como projeto open-source no GitHub, o software foi criado para demonstrar como ataques man-in-the-middle podem derrotar mecanismos de autenticação forte baseados em fatores únicos, como SMS e códigos TOTP gerados por Google Authenticator ou Microsoft Authenticator.

A premissa é simples em conceito, sofisticada em execução. Em vez de clonar estaticamente uma página de login e capturar apenas a senha digitada, o Evilginx atua como intermediário transparente entre a vítima e o site legítimo. Quando o usuário acessa a URL fraudulenta, o proxy repassa credenciais, códigos 2FA e — crucialmente — cookies de sessão gerados pelo servidor real após autenticação bem-sucedida.

A versão 2.0, lançada em 2018, introduziu o conceito de phishlets — arquivos de configuração modulares que definem como cada site deve ser interceptado. A comunidade criou phishlets para Google, Microsoft, Facebook, Instagram, LinkedIn, GitHub e dezenas de serviços bancários. O projeto ultrapassou 12 mil estrelas no GitHub e mantém desenvolvimento ativo, embora Banach tenha alertado repetidamente sobre uso indevido.

Funcionalidades principais

O Evilginx combina proxy reverso, geração de certificados e captura automatizada de credenciais em um único binário:

  • Reverse proxy: atua como intermediário entre vítima e site legítimo, repassando todo o tráfego HTTPS em tempo real
  • Captura de cookies de sessão: intercepta tokens de autenticação emitidos pelo servidor real, permitindo acesso direto à conta sem necessidade de reautenticação
  • Phishlets modulares: arquivos YAML que definem subdomínios, caminhos e regras de interceptação para cada serviço alvo
  • Auto-provisionamento de TLS: gera certificados Let’s Encrypt automaticamente para tornar a URL fraudulenta indistinguível da legítima
  • Redirects inteligentes: redirecionam a vítima para o site legítimo após captura, reduzindo suspeitas
  • Painel administrativo: interface web para monitorar vítimas capturadas em tempo real, com exportação de cookies para reutilização

Casos de uso documentados

Equipes de red team corporativo usam o Evilginx em campanhas de phishing simulado para testar a eficácia de treinamentos de conscientização e controles técnicos como DMARC, DKIM e soluções anti-phishing. Grandes bancos europeus e americanos contratam exercícios que envolvem a ferramenta como parte das simulações anuais de adversário.

No cenário criminoso, o Evilginx tornou-se ferramenta de escolha para ataques direcionados a contas corporativas Microsoft 365 e Google Workspace. A Microsoft documentou em 2023 um aumento de 350% em ataques de phishing com reverse proxy contra contas empresariais, muitos atribuídos a variações do Evilginx. Grupos como FIN13 e UNC1151 utilizaram a técnica em campanhas contra bancos e instituições governamentais.

No Brasil, a Polícia Federal e o CERT.br identificaram em 2022 e 2023 campanhas de phishing usando Evilginx contra clientes de bancos como Itaú, Bradesco e Caixa Econômica Federal. As vítimas recebiam mensagens SMS com links que direcionavam a páginas indistinguíveis das reais, e os criminosos capturavam credenciais, biometria e cookies de sessão para acessar contas sem disparar alertas de segurança.

Relevância no mercado de ameaças

O Evilginx expôs uma vulnerabilidade estrutural na autenticação 2FA baseada em fatores únicos. Após sua popularização, empresas como Google, Microsoft e Yubico aceleraram a adoção de chaves de segurança físicas baseadas no padrão FIDO2/WebAuthn, que oferecem resistência a ataques man-in-the-middle por exigirem validação criptográfica do domínio legítimo.

Apesar disso, a maioria das contas corporativas e de consumidor ainda depende de 2FA via SMS ou aplicativos TOTP, que permanecem vulneráveis ao Evilginx. O Google reportou em 2023 que apenas 2,5% das contas Google tinham 2FA habilitado, e percentual menor ainda usava chaves físicas.

Ferramentas similares surgiram em resposta ao Evilginx, incluindo Modlishka (desenvolvida pelo pesquisador polonês Piotr Duszyński) e EvilnoVNC, que combinam reverse proxy com ambientes virtualizados para contornar detecções adicionais. O mercado de anti-phishing, por sua vez, evoluiu com soluções como SlashNext e Proofpoint, que usam machine learning para identificar URLs maliciosas.

Considerações finais sobre Evilginx

O Evilginx obrigou a indústria a repensar modelos de autenticação e acelerou a adoção de FIDO2 e chaves físicas de segurança. Para entender como proteger contas corporativas, consulte a categoria de ferramentas de cibersegurança deste portal e a reportagem sobre simulação de phishing e conscientização. O código-fonte está disponível no GitHub.