Posté le août 11, 2023 à 10:05
EVILPROXY DIFFUSE 120 000 COURRIELS D’HAMEÇONNAGE POUR ATTEINDRE DES COMPTES MICROSOFT 365
EvilProxy est devenu l’une des plateformes les plus populaires pour mener des campagnes de phishing. Ces campagnes ciblent les comptes protégés par MFA. Selon des chercheurs en sécurité, 120 000 courriels d’hameçonnage ont été envoyés à plus d’une centaine d’organisations, dans le but d’obtenir l’accès à des comptes Microsoft 365.
EvilProxy cible les comptes protégés par MFA
Les nouvelles recherches sur cette campagne de phishing ont été publiées par Proofpoint. Les chercheurs en cybersécurité de Proofpoint ont mis en garde contre une augmentation massive des incidents de prise de contrôle de comptes cloud au cours des cinq derniers mois. Ces campagnes de piratage ont principalement visé des cadres de haut niveau.
Selon Proofpoint, une campagne massive à grande échelle menée par Evil Proxy était en cours. Cette campagne de piratage intègre des techniques d’usurpation d’identité de marque, de redirections ouvertes et d’évasion de détection de bot. Les acteurs de la menace derrière cette campagne utilisent des mesures furtives pour s’assurer qu’ils ne sont pas détectés par les systèmes de sécurité mis en place.
EvilProxy fonctionne comme une plateforme de phishing as-a-service (hameçonnage en tant que service). Il utilise des proxys inversés pour déployer des demandes d’authentification et des informations d’identification entre l’utilisateur, la cible de ces attaques, et un site web de service fonctionnant légitimement.
Une fois que le serveur d’hameçonnage a transmis les données de connexion authentiques, il vole les cookies d’authentification une fois que l’utilisateur s’est connecté à son compte. L’utilisateur doit également réussir les vérifications MFA lorsqu’il se connecte à son compte. D’autre part, le cookie volé permettra aux hackers de contourner l’authentification multifactorielle.
Resecurity a publié un rapport en septembre dernier affirmant que la plateforme de phishing EvilProxy était vendue à des hackers pour 400 dollars chaque mois. À l’époque, les chercheurs avaient noté que la campagne de piratage pouvait cibler des comptes Apple, Facebook, GitHub, GoDaddy, Google, Microsoft, PyPI et Twitter.
Les chercheurs de Proofpoint ont détecté une nouvelle campagne de phishing depuis le mois de mars de l’année dernière. Cette campagne utilise la plateforme de phishing EvilProxy pour envoyer des e-mails qui usurpent l’identité de grandes marques telles qu’Adobe, Concur et DocuSign. L’usurpation d’identité fait croire aux utilisateurs que les courriels ont été envoyés par une source authentique.
Si les utilisateurs suivent le lien intégré dans les e-mails de phishing, ils seront redirigés vers YouTube et SlickDeals. La victime subira également une série d’autres redirections visant à réduire les chances d’analyse et de découverte tout en s’assurant que leurs opérations de piratage restent inaperçues.
La victime est ensuite dirigée vers la page d’hameçonnage d’EvilProxy qui utilise un proxy inverse pour la page de connexion à Microsoft 365. Cette page contient aussi le thème de l’organisation de la victime pour qu’elle paraisse authentique et libre de tout compromis.
Les chercheurs ont par ailleurs noté que les hackers avaient déployé plusieurs techniques pour s’assurer que l’email de la victime ne déploie pas d’outils d’analyse. Ils ont également utilisé des sites web légitimes compromis pour mener leur campagne de piratage.
« Afin de dissimuler l’adresse électronique de l’utilisateur aux outils d’analyse automatique, les attaquants ont utilisé un codage spécial de l’adresse électronique de l’utilisateur et se sont servis de sites web légitimes qui ont été piratés pour télécharger leur code PHP afin de décoder l’adresse électronique d’un utilisateur particulier », ont déclaré les chercheurs de Proofpoint.
Les chercheurs de Proofpoint ont ajouté qu’après le décodage de l’adresse électronique envoyée, les hackers redirigeaient les utilisateurs vers le site web final, la page réelle utilisée pour mener la campagne d’hameçonnage. Cette page d’hameçonnage est personnalisée pour chaque organisation cible.
La campagne vise généralement des cadres supérieurs
Les chercheurs en sécurité ont également indiqué que cette campagne de piratage redirigeait les victimes utilisant une adresse IP de Turquie vers un site web légitime où elles ne seraient pas compromises. Ce comportement montre que les hackers pourraient avoir des origines Turques.
La recherche de Proofpoint a en outre noté que les hackers sont restés sélectifs sur les cas qui allaient passer à la phase de prise de contrôle du compte. Ainsi, les attaquants ont privilégié les cibles de haut rang et n’ont accordé que peu ou pas d’attention aux cibles situées plus bas dans la hiérarchie.
Parmi les comptes piratés, 39 % appartenaient à des cadres de niveau C, tandis que 9 % appartenaient à des vice-présidents et à des PDG. 17 % des comptes violés appartenaient à des directeurs financiers, tandis que les autres comptes appartenaient à des employés ayant accès à des informations sensibles.
Après que les hackers aient réussi à s’introduire dans un compte Microsoft 365, ils ont ajouté leur authentification multifactorielle pour créer une persistance. L’utilisation par les hackers de kits de phishing par proxy inverse et de la plateforme EvilProxy montre la rapidité avec laquelle la menace s’est développée. Cette menace peut mener une campagne de phishing de haute qualité à grande échelle tout en contournant les mesures de sécurité et en s’assurant que les comptes sont protégés.
Les organisations ciblées par ces campagnes de piratage peuvent se défendre contre cette menace en mettant en place des mesures de haute sécurité. Ces organisations peuvent également adopter des règles strictes de filtrage des courriels et des clés physiques basées sur FIDO (Fast IDentity Online) pour garantir la sécurité.