Posté le octobre 12, 2022 à 7:59
LES COMPTES MICROSOFT SONT MAINTENANT CONFRONTÉS À UNE NOUVELLE ET EFFRAYANTE MÉTHODE DE PHISHING
Grâce à un système de phishing-as-a-service appelé Caffeine, la création de comptes Microsoft 365 est désormais relativement simple.
Selon Bleeping Computer, la plateforme permet aux hackers malveillants de repérer des personnes spécifiques pour accéder à leurs profils Microsoft.
Après avoir découvert Caffeine, les enquêteurs de la société de cybercriminalité Mandiant ont publié une étude. Ils ont découvert l’installation lors d’une enquête sur une publicité pour un logiciel malveillant basé sur Caffeine, dans laquelle des hackers malveillants ciblaient les clients d’une entreprise particulière.
Contrairement à d’autres systèmes, Caffeine est accessible à toute personne concernée sans avoir besoin de demandes ou de recommandations. Obtenir la permission d’un utilisateur sur un collectif Telegram ou un fil de discussion sur la cybercriminalité est une autre caractéristique partagée par ces installations. Caffeine, en revanche, ne nécessite pas cette procédure de test.
Alors que la plupart des systèmes PhaaS s’attaquent aux États occidentaux, les logiciels malveillants de Caffeine se concentrent sur les systèmes Chinois et Russes.
Après avoir créé un profil, un attaquant malveillant accède à la boutique de Caffeine, un lieu centralisé contenant des instruments permettant d’établir des escroqueries de phishing. Naturellement, le fournisseur n’est pas proposé gratuitement. Un logiciel d’adhésion coûte 250 dollars par mois, les possibilités plus haut de gamme coûtant 450 ou 850 dollars.
Les coûts mentionnés précédemment sont jusqu’à cinq fois supérieurs à ceux d’un abonnement mensuel typique à PhaaS. Néanmoins, il fournit respectivement des processus d’anti-analyse et d’anti-détection, ainsi qu’un service clientèle.
Une fois les campagnes de malveillance terminées, le système d’attaque, une page d’accueil de Microsoft, est lancé et un framework de logiciel malveillant est choisi. D’autres fonctionnalités pratiques pour la diffusion d’e-mails malveillants comprennent une fonction de vérification d’adresse basée sur Python et PHP.
Mandiant a expliqué comment identifier les e-mails malveillants sur Caffeine, mais il n’en reste pas moins que Caffeine peut devenir un cadre beaucoup plus attrayant pour établir des escroqueries de phishing une fois que des options supplémentaires sont introduites. Dès lors que l’on prend en compte la composante informatique du fournisseur, les nouveaux arrivants sur PhaaS pourraient commencer leur cyber-guerre de manière pratique.
Des fraudeurs ont récemment essayé d’infliger un ransomware au cadre d’un utilisateur en envoyant de fausses clés USB Microsoft Office.
Une méthode plus effrayante
Caffeine diffère de la plupart des systèmes PhaaS en ce qu’il utilise un processus d’inscription ouvert, permettant à toute personne disposant d’un e-mail de s’inscrire à ses installations plutôt que de traiter de manière étroite via des canaux de communication étroits tels que des forums de discussion enfouis ou des systèmes de communication sécurisés ou de nécessiter l’approbation ou la recommandation d’un compte individuel. En outre, pour optimiser l’assistance à une clientèle diversifiée, Caffeine propose des listes de diffusion de faux sites Web conçues pour être utilisées contre les sites Web Russes et Chinois, une caractéristique inhabituelle et digne d’intérêt de la console.
La première évaluation de Mandiant concernant l’utilisation du framework Caffeine était un effort de propagande de logiciels malveillants de certification largement partagé. En mars dernier, Managed Defense a découvert une URL douteuse dans un e-mail adressé à une société Européenne de conseil en architecture. Alors que les composants du message électronique n’ont pas été entièrement récupérés, les informations du site Web stockées dans le spam, eduardorodiguez9584@ongraphy.com, qui se trouvait à l’emplacement Internet 134.209.156.27 au moment de l’action, ont été récupérées et évaluées.
Enfin, le domaine a été utilisé comme site de déviation vers une URL secondaire. Il a été découvert que l’URL susmentionnée conduisait finalement à un composant vulnérable d’un site Web d’entreprise précédemment bon pour un cabinet clinique d’ophtalmologues en Italie. Mandiant ne peut pas fournir de données concluantes sur l’IIV du terrain commun de cette plateforme. Cependant, il a été découvert que le site en question utilisait un certain nombre de ses addons spécialement conçus et WordPress. Mandiant a précédemment identifié les failles de sécurité de WordPress comme un IIV prévalent pour les négociations de pages Web. Cependant, le site ne semble pas avoir été endommagé.
De plus, l’agresseur a dysfonctionné le 2ème site d’appât, qui se trouvait sur la section vulnérable du site. Le site web représenté pourrait très probablement présenter le dernier site appât pour une publicité comme l’utilisateur/agresseur de Caffeine l’a prévu.
Les installations de Caffeine pour un consommateur différent, comme tout framework SaaS avancé, commencent par l’établissement d’un profil de client.
Bien que tous les systèmes PhaaS ne fonctionnent pas de cette manière, dans le cas particulier de Caffeine, la page d’accueil est accessible au grand public ; les visiteurs n’ont besoin que d’une URL. Pour naviguer sur le site, il faut s’inscrire à un profil, sans transparence substantielle des données et sans processus de test indépendant, comme l’approbation d’autres clients établis de Caffeine.
Bien que les méthodes de détection mentionnées dans le document de Mandiant puissent aider énormément à détecter les attaques suspectes, il est également crucial de se rappeler que les systèmes de défense contre les menaces PhaaS peuvent constituer un défi. Des infrastructures innovantes pourraient être mises en place aussitôt que les dispositifs de sécurité contre les menaces sont retirés du site.
