Des cybercriminels ont récemment réussi à vaincre des comptes infonuagiques Microsoft 365 protégés par une authentification multi facteur à l’aide du kit d’hameçonnage EvilProxy, selon les chercheurs de Proofpoint.
Depuis le début de mars, ils ont vu une campagne hybride en cours utilisant EvilProxy pour cibler des milliers de comptes d’utilisateurs Microsoft 365, en particulier ceux de hauts dirigeants et de cadres supérieurs de grandes entreprises. En fait, les attaquants ignorent la compromission réussie des comptes de personnes qu’ils jugent de moindre valeur, à moins qu’ils n’aient accès à des informations financières ou sensibles sur l’entreprise.
Parmi les centaines d’utilisateurs compromis, selon Proofpoint, environ 39 % étaient des cadres supérieurs, dont 17 % étaient des directeurs financiers et 9 % étaient des présidents et PDG.
Une fois qu’un utilisateur ciblé a fourni ses informations d’identification, les attaquants ont pu se connecter à leur compte Microsoft 365 en quelques secondes, disent les chercheurs, suggérant un processus rationalisé et automatisé.
« La propagation globale de cette campagne est impressionnante, avec environ 120 000 courriels d’hameçonnage envoyés à des centaines d’organisations ciblées à travers le monde entre mars et juin », ont déclaré les chercheurs dans un article de blog cette semaine.
Au cours de la phase d’hameçonnage, les attaquants utilisent les techniques suivantes :
- Usurpation de marque– Les adresses d’expéditeur usurpaient celles de services et d’applications de confiance, tels que Concur Solutions, DocuSign et Adobe.
- Blocage du balayage– Les attaquants ont utilisé la protection contre les robots d’analyse de cybersécurité, ce qui rend plus difficile pour les solutions de sécurité d’analyser leurs pages Web malveillantes.
- Chaîne d’infection en plusieurs étapes– Les attaquants ont redirigé le trafic via des redirecteurs légitimes ouverts, y compris YouTube, suivis d’étapes supplémentaires telles que des témoins (cookies) malveillants et des redirections 404.
Initialement, les messages d’hameçonnage usurpaient l’identité de services de confiance connus, tels que le système de gestion des dépenses professionnelles Concur, DocuSign et Adobe. Utilisant des adresses d’expéditeur usurpées, ces courriels contenaient des liens vers des sites Web d’hameçonnage Microsoft 365 malveillants. Finalement, après plusieurs transitions de redirection, l’utilisateur est envoyé vers un cadre d’hameçonnage EvilProxy. La page de destination fonctionne comme un proxy inverse, imitant la marque du destinataire et tentant de gérer les fournisseurs d’identité tiers. Si nécessaire, ces pages peuvent demander des informations d’identification AMF pour faciliter une authentification réelle et réussie au nom de la victime – validant ainsi également les informations d’identification recueillies comme légitimes.
Dans les vagues subséquentes de cette campagne, afin d’empêcher la détection par les solutions de sécurité et d’inciter l’utilisateur à cliquer sur les liens, les attaquants utilisent des liens de redirection sur des sites Web réputés tels que YouTube et SlickDeals.
Une fois que les attaquants ont accès au compte d’une victime, ils consolident leur présence dans l’environnement infonuagique de l’organisation concernée, souvent en tirant parti d’une application Microsoft 365 native pour exécuter la manipulation AMF. Ils le font en ajoutant leur propre méthode d’authentification multi-facteurs.
Selon Proofpoint, les professionnels de l’informatique et de la sécurité informatique doivent prendre un certain nombre de mesures pour bloquer ce type d’attaque, notamment des solutions efficaces de prévention des compromissions de messagerie professionnelle. De plus, ils doivent disposer de solutions ou de processus pour identifier la prise de contrôle de compte et l’accès non autorisé aux ressources sensibles. Dans certains cas, certains membres du personnel devraient être tenus de disposer de clés de sécurité physiques basées sur FIDO pour protéger l’accès à la connexion. Et la formation de sensibilisation des employés à la sécurité doit être renforcée.
Adaptation et traduction française par Renaud Larue-Langlois.
