Posté le août 5, 2022 à 7:58
PROTÉGEZ VOTRE COMPTE DE MESSAGERIE MICROSOFT CONTRE CETTE NOUVELLE ATTAQUE DE PHISHING À GRANDE ÉCHELLE
Les chercheurs en sécurité du groupe ThreatLabz de Zscaler ont découvert une campagne de phishing à grande échelle qui utilise la méthode d’attaque AiTM (adversary-in-the-middle) pour contourner l’authentification multifactorielle (MFA).
Les chercheurs ont déclaré que l’objectif principal de cette attaque à grande échelle est de pénétrer dans les comptes des entreprises afin de mener des attaques de type BEC (business email compromise). L’attaque redirige généralement les paiements vers les comptes bancaires des hackers à l’aide de faux documents.
Selon les chercheurs, il s’agit d’une attaque très sophistiquée qui est suffisamment trompeuse pour contourner l’AMF utilisée à différentes étapes de l’attaque. Selon ThreatLabs, l’acteur de la menace a conçu une méthode d’attaque permettant de contourner les solutions de sécurité du réseau et l’activité conventionnelle de messagerie électronique. Cela donne aux attaquants un accès illimité au réseau de la victime pendant une longue période.
Les principales cibles de l’attaque par hameçonnage sont des industries de différents secteurs, tels que la comptabilité, l’assurance, la finance, les prêts, les FinTech, l’énergie, mais aussi le service client SFR ainsi que les organisations de la Federal Credit Union.
La campagne est toujours très active
Les chercheurs ont déclaré que la campagne est toujours très active et que les attaquants créent quotidiennement de nouveaux e-mails de phishing pour poursuivre leurs attaques.
La nouvelle campagne a été découverte par les chercheurs de ThreatLabz en juin 2022. Les analystes ont déclaré avoir découvert une utilisation accrue de kits de phishing avancés sur une base plus large contre les utilisateurs des services de messagerie Microsoft.
L’attaque commence par l’envoi d’un courriel de facture à la victime sans méfiance. Mais en réalité, l’information contient des liens malveillants intégrés dans les fichiers HTML joints ou sous forme de boutons dans le corps du message. Lorsque la cible ou l’utilisateur clique sur le lien, il est redirigé vers les pages de phishing.
La page de phishing malveillante se fait passer pour la page de connexion de Microsoft Office. Toutefois, avant cela, la page de phishing détermine si le visiteur est une victime ciblée de la campagne ou quelqu’un d’autre.
Les hackers utilisent différentes méthodes pour cibler leurs victimes
Les acteurs de la menace déploient différentes méthodes pour déterminer leurs victimes potentielles. Ils utilisent également plusieurs techniques pour faire en sorte que la méthode de phishing ressemble à une demande ou à une activité authentique pour les cibles.
Ils utilisent DoubleClick, Snapchat, et ouvrent des pages de redirection hébergées par Google Ads. L’objectif est de planter l’URL de phishing de manière à inciter l’utilisateur à cliquer dessus. Ces acteurs de la menace réussissent dans certains cas, car plusieurs plateformes ne considèrent pas les redirections ouvertes comme une vulnérabilité ou une menace pour la sécurité. Elles peuvent donc être utilisées par les hackers.
En outre, certains des domaines enregistrés par les acteurs de la menace étaient des versions typo-squattées de véritables Federal Credit Unions aux États-Unis.
Les chercheurs de ThreatLabz ont déclaré avoir observé un schéma intéressant lors de leur analyse initiale des courriels. Ils ont noté que les e-mails appartenaient aux adresses électroniques des directeurs généraux des organisations Federal Credit Union.
Elle montre que le hacker a pu compromettre les courriels professionnels des dirigeants de ces organisations via une attaque de phishing. Ils ont ensuite utilisé ce mail pour pirater des e-mails professionnels dans le cadre de la même campagne de phishing. En outre, certains des faux noms de domaine contiennent des mots-clés liés à des rappels d’expiration et de réinitialisation de mot de passe, ce qui fait partie de leur campagne de phishing par e-mail.
Les chercheurs ont également noté que plusieurs autres domaines sont utilisés dans les campagnes de phishing, certains d’entre eux ne se conformant à aucun modèle spécifique et étant complètement aléatoires.
La campagne utilise différents types de méthodes de redirection, tandis que d’authentiques services d’édition de code en ligne tels que Glitch et CodeSandbox sont utilisés de manière abusive pour prolonger la campagne autant que possible.
Les attaquants de BEC améliorent constamment leurs tactiques
La sophistication de l’attaquant est également visible dans sa méthode d’hébergement des codes de redirection à l’aide de services d’hébergement et d’édition de codes Web. Les chercheurs ont noté que les acteurs de la menace pouvaient utiliser les sites destinés aux développeurs Web pour concevoir de nouvelles pages de code qu’ils utiliseront pour leur campagne. Ils essaient ensuite d’envoyer le lien vers le code de redirection hébergé à un grand nombre de victimes.
La compromission de messagerie en entreprise (BEC) est de plus en plus populaire auprès des acteurs de menaces qui cherchent à lancer des attaques contre les organisations commerciales et les réseaux d’entreprise. Il s’agit d’une méthode d’attaque croissante contre laquelle les entreprises doivent se protéger. Plus important encore, les hackers évoluent et améliorent en permanence leurs techniques et tactiques pour contourner les protocoles de sécurité. Il est donc plus difficile de repérer facilement ces types d’attaques.
C’est pourquoi il a été conseillé aux entreprises de renforcer leur dispositif de sécurité, notamment les systèmes de surveillance et d’atténuation, afin de protéger leurs réseaux.