Des attaquants multipliant leurs efforts sur un nouveau service de phishing appelé VoidProxy ciblent les comptes Microsoft et Google des organisations, réussissant à dérober les identifiants, les codes d’authentification multi-facteurs et les jetons de session en temps réel, selon des chercheurs en sécurité.
Les équipes d’Okta Threat Intelligence ont mis en lumière ces attaques en cours et ont informé LesNews que plusieurs criminels et gangs de cybercriminalité exploitent VoidProxy. L’entreprise a publié un rapport détaillant ses découvertes.
“Nous avons observé que de multiples secteurs d’activité à travers le monde sont ciblés, chacun reflétant les priorités des victimes de cette opération de phishing-as-a-service”, ont déclaré les chercheurs en cybersécurité par email, en réponse aux questions de LesNews.
Ces attaques s’en prennent à tous les comptes Google et Microsoft, allant des petites entreprises aux grandes multinationales. Bien qu’Okta n’ait pas fourni de chiffres exacts sur le nombre de victimes, “nous avons observé des prises de contrôle de comptes à haute probabilité dans plusieurs entités”, a affirmé l’équipe de renseignement. “Par conséquent, nous nous attendons à ce que Microsoft et Google aient enregistré un nombre encore plus important d’événements de prise de contrôle compte tenu du fait que VoidProxy connecte directement des utilisateurs non fédérés aux serveurs de Microsoft et Google.”
Un porte-parole de Google a déclaré à LesNews : “Nous constatons régulièrement l’émergence de nouvelles campagnes de phishing, c’est pourquoi nous concevons des protections durables pour maintenir la sécurité des utilisateurs face à ces types d’attaques, y compris des défenses contre le spoofing de domaine, les liens de phishing et les expéditeurs compromis. Nous sommes également d’accord avec la recommandation du rapport qui encourage les utilisateurs à adopter des clés d’accès comme protection efficace contre le phishing.”
Google n’a pas fourni de réponses directes aux questions de LesNews, notamment sur le nombre de prises de contrôle de comptes observées. Microsoft a également décliné de commenter.
Alors qu’Okta a observé que les attaques avaient commencé en janvier, les chercheurs ont établi des liens entre ces campagnes de phishing et des publicités pour VoidProxy sur le dark web, remontant jusqu’à août 2023.
Nous avons observé des prises de contrôle de comptes à haute probabilité dans plusieurs entités.
“L’activité se poursuit”, a confirmé l’équipe de renseignement par email. “Nous détectons chaque jour de nouvelles infrastructures et nous générons des alertes pour nos clients.”
Voici comment se déroulent les attaques : d’abord, les criminels envoient des leurres de phishing à partir de comptes email légitimes, mais compromis, provenant de fournisseurs comme Constant Contact ou ActiveCampaign. Ces emails contiennent un lien vers un service de raccourcissement d’URL (tel que TinyUrl), et le lien malveillant redirige la victime plusieurs fois avant d’atterrir sur le site de phishing initial. Les sites de phishing sont hébergés sur des domaines peu coûteux comme .icu, .sbs, .cfd, .xyz, .top ou .home, et cachés derrière Cloudflare, rendant plus difficile pour les défenseurs de réseaux de mettre hors service l’hôte.
Après avoir réussi un CAPTCHA Cloudflare, attestant ainsi que le visiteur est humain, l’utilisateur est dirigé vers un site de phishing qui imite parfaitement une page de connexion à un compte Google ou Microsoft. Ce service redirige également les comptes protégés par des fournisseurs d’authentification unique tiers comme Okta.
Attaquant au milieu
La page apparaît totalement légitime aux yeux de l’utilisateur, qui saisit alors ses identifiants de connexion. Mais au lieu d’accéder à son compte Microsoft ou Google, ces informations sont envoyées à un serveur proxy “attaquant au milieu” (AiTM) de VoidProxy, permettant ainsi aux criminels de mener leur attaque.
“C’est à ce stade que la nature sophistiquée et multi-couche de VoidProxy entre en jeu”, précisent les chercheurs.
Les attaques AiTM se produisent lorsque les criminels se placent secrètement entre deux parties – par exemple, un utilisateur et un site web – pour intercepter des identifiants de connexion et des informations bancaires, ou pour écouter et manipuler les communications échangées.
À ce stade des attaques, le serveur proxy principal, hébergé sur une infrastructure éphémère, capture et relaye des informations sensibles telles que noms d’utilisateur, mots de passe et réponses MFA vers les services légitimes de Microsoft, Google et Okta. Ces services valident et authentifient les informations de l’utilisateur avant de délivrer un cookie de session, également intercepté par le serveur proxy.
“Une copie du cookie est exfiltrée et mise à la disposition de l’attaquant via leur panneau d’administration”, indique le rapport. “L’attaquant possède désormais un cookie de session valide et peut accéder au compte de la victime.”
Et toutes ces fonctionnalités sont proposées à d’autres criminels à travers l’opération de phishing-as-a-service de VoidProxy. Les clients (c’est-à-dire les criminels) reçoivent un panneau d’administration complet leur permettant de gérer et de surveiller leurs campagnes de phishing, avec un tableau de bord pour chaque campagne qui suit quotidiennement le nombre de données dérobées. Ces campagnes et données volées sont également affichées par région avec des cartes de chaque pays montrant le nombre de victimes.
Okta recommande d’adopter des authentificateurs robustes comme Okta FastPass, d’utiliser FIDO2 WebAuthn (clés d’accès et clés de sécurité), et d’appliquer des politiques de résistance au phishing afin d’éviter de devenir la cible des attaques de VoidProxy.
Les auteurs du rapport encouragent également les partenaires de l’industrie – comme Microsoft et Google – “à continuer de soutenir et de promouvoir des normes industrielles comme le Profil d’Interopérabilité pour l’Identité Sécurisée dans l’Entreprise (IPSIE).”
“Une adhésion constante à ces normes pourrait, par exemple, garantir que les parties concernées puissent déconnecter un utilisateur de son appareil ainsi que de toutes ses applications de navigateur en temps réel lorsqu’un utilisateur interagit avec une infrastructure malveillante connue”, a conclu l’équipe de renseignement.
Points à retenir
- Les attaques de phishing sont en augmentation, touchant une large gamme d’industries.
- Les outils comme VoidProxy facilitent le travail des cybercriminels en offrant des services de phishing à la demande.
- Les organisations sont encouragées à adopter des solutions d’authentification forte pour se protéger contre ces intrusions.
- La collaboration entre les entreprises et les fournisseurs de technologie est essentielle pour développer des normes de sécurité robustes.
En somme, la lutte contre le phishing ne se limite pas à la technologie, mais inclut également des stratégies de sensibilisation et de coopération. Les entreprises doivent rester vigilantes et proactives face à l’évolution des menaces. Quel rôle les individus peuvent-ils jouer dans cette dynamique pour renforcer la cybersécurité ?