Une campagne de phishing sophistiquée sur Facebook a été observée exploitant une faille zero-day dans les services de messagerie de Salesforce, permettant aux acteurs de la menace de créer des messages de phishing ciblés en utilisant le domaine et l’infrastructure de l’entreprise.

« Ces campagnes de phishing échappent intelligemment aux méthodes de détection conventionnelles en enchaînant la vulnérabilité de Salesforce et les bizarreries héritées de la plate-forme de jeux Web de Facebook », ont déclaré les chercheurs de Guardio Labs, Oleg Zaytsev et Nati Tal, dans un rapport partagé avec The Hacker News.

Les e-mails se font passer pour provenir de Meta, tout en étant envoyés à partir d’une adresse e-mail avec un domaine « @salesforce.com ». Ils cherchent à inciter les destinataires à cliquer sur un lien en affirmant que leurs comptes Facebook font l’objet d’une « enquête approfondie » en raison de « soupçons d’usurpation d’identité ».

L’objectif est de diriger les utilisateurs vers une page de destination malveillante conçue pour capturer les informations d’identification du compte de la victime et les codes d’authentification à deux facteurs (2FA). Ce qui rend l’attaque remarquable, c’est que le kit de phishing est hébergé en tant que jeu sous la plate-forme d’applications Facebook en utilisant le domaine apps.facebook[.]com.

« Il est donc évident que nous avons vu cet e-mail passer à travers les mécanismes anti-spam et anti-hameçonnage traditionnels. Il comprend des liens légitimes (vers facebook.com) et est envoyé à partir d’une adresse e-mail légitime de @salesforce.com, l’un des principaux fournisseurs de CRM au monde », expliquent les chercheurs.

Il convient de souligner que Meta a retiré la fonctionnalité Web Games en juillet 2020, bien qu’il soit possible de conserver la prise en charge des jeux hérités qui ont été développés avant son obsolescence.

Alors que l’envoi d’e-mails à l’aide d’un salesforce.com implique une étape de validation, Guardio Labs a déclaré que le schéma contourne intelligemment ces mesures de protection en configurant une adresse e-mail de routage entrante Email-to-Case qui utilise le domaine salesforce.com et en le configurant comme adresse e-mail à l’échelle de l’organisation.

« Cela déclenche le flux de vérification qui envoie l’e-mail à cette adresse de routage, se retrouvant comme une nouvelle tâche dans notre système », ont déclaré les chercheurs, ajoutant que cela conduit à un scénario dans lequel une adresse e-mail salesforce.com peut être vérifiée simplement en cliquant sur le lien accompagnant la demande d’ajout de l’adresse contrôlée par l’acteur.

« A partir de là, vous continuez et créez n’importe quel type de stratagème de phishing, même en ciblant directement les clients de Salesforce avec ce type d’e-mails. Et ce qui précède se retrouvera dans la boîte de réception de la victime, en contournant les mécanismes anti-spam et anti-phishing, et même marqué comme important par Google. »

Suite à la divulgation responsable du 28 juin 2023, Salesforce a abordé le jour zéro à partir du 28 juillet 2023, avec de nouvelles vérifications qui empêchent l’utilisation des adresses e-mail du domaine @salesforce.com.

Le développement intervient alors que Cofense a mis en garde contre une activité de phishing accrue qui utilise les URL Google Accelerated Mobile Pages (AMP) pour contourner les contrôles de sécurité et effectuer le vol d’informations d’identification.

« La prévalence des attaques de phishing et des escroqueries reste élevée, les mauvais acteurs testant en permanence les limites de l’infrastructure de distribution d’e-mails et les mesures de sécurité existantes », ont déclaré les chercheurs.

« Un aspect préoccupant de cette bataille en cours est l’exploitation de services apparemment légitimes, tels que les CRM, les plateformes de marketing et les espaces de travail basés sur le cloud, pour mener des activités malveillantes. »

A lire également