Les acteurs de la menace utilisent de plus en plus une boîte à outils de phishing en tant que service (PhaaS) appelée EvilProxy pour lancer des attaques de prise de contrôle de compte visant les cadres supérieurs d’entreprises de premier plan.
Selon Proofpoint, une campagne hybride en cours a exploité le service pour cibler des milliers de comptes d’utilisateurs Microsoft 365, envoyant environ 120 000 e-mails de phishing à des centaines d’organisations dans le monde entre mars et juin 2023.
Près de 39 % des centaines d’utilisateurs compromis seraient des cadres de niveau C, y compris des PDG (9 %) et des directeurs financiers (17 %). Les attaques ont également ciblé le personnel ayant accès à des actifs financiers ou à des informations sensibles. Au moins 35 % de tous les utilisateurs compromis avaient des protections de compte supplémentaires activées.
Les campagnes sont considérées comme une réponse à l’adoption croissante de l’authentification multifacteur (MFA) dans les entreprises, incitant les acteurs de la menace à faire évoluer leurs tactiques pour contourner de nouvelles couches de sécurité en incorporant des kits de phishing d’adversaire au milieu (AitM) pour siphonner informations d’identification, cookies de session et mots de passe à usage unique.
« Les attaquants utilisent une nouvelle automatisation avancée pour déterminer avec précision en temps réel si un utilisateur hameçonné est un profil de haut niveau, et obtenir immédiatement l’accès au compte, tout en ignorant les profils hameçonnés moins lucratifs », a déclaré la société de sécurité d’entreprise.
EvilProxy a été documenté pour la première fois par Resecurity en septembre 2022, détaillant sa capacité à compromettre les comptes d’utilisateurs associés à Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo et Yandex, parmi autres.
Il est vendu sous forme d’abonnement à 400 dollars par mois, un chiffre qui peut grimper jusqu’à 600 dollars pour les comptes Google.
Les boîtes à outils PhaaS sont une évolution de l’économie de la cybercriminalité, abaissant la barrière pour les criminels ayant des compétences techniques inférieures pour mener des attaques de phishing sophistiquées à grande échelle de manière transparente et rentable.
« De nos jours, tout ce dont un attaquant a besoin est de mettre en place une campagne à l’aide d’une interface pointer-cliquer avec des options personnalisables, telles que la détection de bot, la détection de proxy et le géorepérage », ont déclaré les chercheurs en sécurité Shachar Gritzman, Moshe Avraham, Tim Kromphardt, Jake Gionet. , et Eilon Bendet a dit.
« Cette interface relativement simple et peu coûteuse a ouvert une avalanche d’activités de phishing MFA réussies. »
La dernière vague d’attaques commence par des e-mails de phishing qui se font passer pour des services de confiance comme Adobe et DocuSign pour inciter les destinataires à cliquer sur des URL malveillantes qui activent une chaîne de redirection en plusieurs étapes pour les diriger vers une page de connexion Microsoft 365 ressemblante, qui fonctionne comme un inverse proxy pour capturer furtivement les informations saisies dans le formulaire.
Mais dans une tournure curieuse, les attaques ignorent délibérément le trafic des utilisateurs provenant d’adresses IP turques en les redirigeant vers des sites Web légitimes, indiquant que les opérateurs de la campagne pourraient être basés à l’extérieur du pays.
Une prise de contrôle de compte réussie est suivie par l’auteur de la menace qui prend des mesures pour « cimenter son implantation » dans l’environnement cloud de l’organisation en ajoutant sa propre méthode MFA, telle qu’une application d’authentification à deux facteurs, afin d’obtenir un accès à distance persistant et d’effectuer des mouvements latéraux. et la prolifération des logiciels malveillants.
L’accès est en outre monétisé pour mener une fraude financière, exfiltrer des données confidentielles ou vendre les comptes d’utilisateurs compromis à d’autres attaquants.
« Les menaces par proxy inverse (et EvilProxy en particulier) sont une menace puissante dans le paysage dynamique d’aujourd’hui et surpassent les kits de phishing moins performants du passé », ont déclaré les chercheurs, soulignant que « même la MFA n’est pas une solution miracle contre le cloud sophistiqué. menaces fondées. »
« Bien que le vecteur de menace initial de ces attaques soit basé sur les e-mails, leur objectif final est de compromettre et d’exploiter les précieux comptes d’utilisateurs, actifs et données du cloud. »
Le développement intervient alors qu’Imperva a révélé les détails d’une campagne de phishing d’origine russe en cours qui vise à tromper des cibles potentielles et à voler leurs informations de carte de crédit et bancaires depuis au moins mai 2022 via des liens piégés partagés via des messages WhatsApp.
L’activité couvre 800 domaines d’escroquerie différents, usurpant l’identité de plus de 340 entreprises dans 48 langues. Cela comprend des banques bien connues, des services postaux, des services de livraison de colis, des médias sociaux et des sites de commerce électronique.
« En tirant parti d’une application d’une seule page de haute qualité, les escrocs ont pu créer dynamiquement un site Web convaincant qui se faisait passer pour un site légitime, trompant les utilisateurs dans un faux sentiment de sécurité », a déclaré Imperva.
Dans une autre variante d’une attaque d’ingénierie sociale identifiée par eSentire, des acteurs malveillants ont été observés en train de contacter des professionnels du marketing sur LinkedIn dans le but de distribuer un logiciel malveillant de chargeur basé sur .NET nommé HawkEyes qui, à son tour, est utilisé pour lancer Ducktail, un logiciel d’information voleur avec un accent particulier sur la collecte d’informations sur le compte Facebook Business.
« Ducktail est connu pour cibler les comptes Facebook Ad et Business », ont déclaré les chercheurs d’eSentire. « Les opérateurs utiliseront des données de connexion volées pour ajouter des adresses e-mail aux comptes Facebook Business. Lorsque des e-mails sont ajoutés, un lien d’enregistrement est généré par lequel l’acteur de la menace peut s’accorder l’accès. »
