Les cybercriminels utilisent de plus en plus l'authentification multifacteur (MFA) pour détourner les comptes des dirigeants. C'est ce qu'ont découvert les experts en sécurité informatique de Proofpoint. Ils ont constaté une augmentation de plus de 100 % au cours des six derniers mois des incidents au cours desquels des cybercriminels ont pu accéder aux comptes cloud de cadres supérieurs de grandes entreprises.
Plus de 100 entreprises dans le monde, totalisant plus de 1,5 million de salariés, sont concernées. Les criminels ont utilisé EvilProxy pour leurs attaques. Il s'agit d'un outil de phishing doté d'une architecture de proxy inverse qui permet aux attaquants de voler des informations d'identification et des cookies de session protégés par MFA.
Les attaquants contournent la protection MFA
Les experts de Proofpoint évaluent ces nouvelles attaques : « Les identifiants des employés sont très recherchés par les cybercriminels : ils peuvent donner accès à des informations précieuses ou sensibles sur l'entreprise et aux comptes d'utilisateurs. Même si les identifiants offrent généralement une variété de vecteurs d’attaque, tous les identifiants n’ont pas la même valeur. Les recherches montrent que les criminels ciblent souvent des fonctions ou des départements spécifiques. Ce faisant, ils doivent constamment développer leurs méthodes et techniques, par exemple pour renverser l’authentification multifacteur.
Contrairement à la croyance populaire, la MFA n’est pas une panacée contre les attaques sophistiquées basées sur le cloud. Une fois entrés, les acteurs malveillants peuvent se cacher dans une organisation sans être détectés et lancer des attaques sophistiquées à volonté. Les kits de phishing de contournement MFA disponibles dans le commerce sont désormais omniprésents, permettant même aux criminels non experts de lancer une campagne de phishing et d'inciter les employés à divulguer les informations d'identification de leur compte.
Abus de proxy inverse
L’utilisation croissante de la MFA a conduit à la prolifération de kits et d’outils de phishing permettant de contourner cette couche de sécurité. Les cybercriminels utilisent de plus en plus de kits de phishing Adversary-in-the-Middle (AitM) comme EvilProxy pour voler des informations d'identification et des cookies de session en temps réel.
L'efficacité d'EvilProxy en tant qu'outil de phishing est bien connue. Cependant, les experts de Proofpoint ont identifié une lacune inquiétante dans la sensibilisation des responsables de la sécurité informatique aux risques et aux conséquences potentielles, tels que la compromission de la messagerie professionnelle (BEC) et la piratage de compte (ATO).
Phase 1 : Phishing avec EvilProxy
Depuis début mars, les spécialistes de Proofpoint surveillent une campagne utilisant EvilProxy pour attaquer des milliers de comptes d'utilisateurs Microsoft 365. Le volume total de cette campagne est impressionnant : entre mars et juin 2023, environ 120.000 XNUMX e-mails de phishing ont été envoyés à des centaines d'organisations cibles dans le monde entier.
Dans la phase de phishing de leurs attaques, les criminels ont utilisé trois techniques principales :
- Usurpation d'identité de marque : les expéditeurs usurpent l'identité de services et d'applications de confiance, par ex. B. Solutions Concur, DocuSign et Adobe.
- Blocage de l'analyse : les attaquants ont utilisé une protection contre les robots d'analyse de cybersécurité pour rendre difficile l'analyse de leurs sites Web malveillants par les solutions de sécurité.
- Chaîne d'infection en plusieurs étapes : les attaquants redirigent le trafic via des redirections légitimes et ouvertement accessibles.
Pour cacher leurs e-mails aux outils d'analyse automatique, les attaquants utilisent un encodage spécial des e-mails et utilisent des sites Web légitimes qui ont été piratés pour télécharger leur code PHP et décrypter l'adresse e-mail d'un utilisateur spécifique.
Étape 2 : Compromis de compte
La liste des utilisateurs ciblés comprend de nombreuses cibles de haut niveau, par ex. B. Directeurs généraux, administrateurs de sociétés, cadres supérieurs et vice-présidents de grandes entreprises. Ces individus sont particulièrement appréciés des criminels car ils ont potentiellement accès à des données et à des actifs sensibles. Parmi les centaines d'utilisateurs compromis, environ 39 pour cent étaient des employés de la haute direction (« niveau C »), dont 17 pour cent des directeurs financiers et 9 pour cent des présidents et PDG. Les attaquants s’intéressent également aux cadres de niveau inférieur, concentrant leurs efforts sur les employés ayant accès aux actifs ou aux informations sensibles.
Phase 3 : Abus après compromission
Une fois que les attaquants ont accès au compte d'une victime, ils s'établissent dans l'environnement cloud de la victime. À plusieurs reprises, les attaquants ont utilisé une application native Microsoft 365 pour effectuer des manipulations MFA. Grâce à « Mes connexions », les attaquants ont pu ajouter leur propre méthode d'authentification multifacteur, fournissant un accès persistant aux comptes d'utilisateurs compromis. Ils préfèrent la méthode via une application d’authentification avec message et code.
Plus sur Proofpoint.com
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.