Les acteurs de la menace s'appuient sur la boîte à outils de phishing EvilProxy pour cibler les organisations
Les acteurs criminels utilisent de plus en plus souvent une boîte à outils de phishing en tant que service (PhaaS) connue sous le nom d'EvilProxy pour orchestrer des attaques de prise de contrôle de compte ciblant spécifiquement les cadres supérieurs d'entreprises de premier plan.
Proofpoint signale une campagne mixte en cours qui a utilisé ce service pour se concentrer sur des milliers de comptes d'utilisateurs Microsoft 365, diffusant environ 120 000 e-mails de phishing à de nombreuses organisations dans le monde entre la période de mars à juin 2023.
Environ 39 % des nombreux utilisateurs compromis sont identifiés comme des cadres de niveau C, englobant des PDG (9 %) et des directeurs financiers (17 %). Les attaques ont également identifié des personnes qui ont accès à des informations sensibles ou à des ressources financières. Parmi tous les utilisateurs compromis, au moins 35 % avaient mis en place des mesures de sécurité de compte supplémentaires.
Ces campagnes sont considérées comme une réaction à la mise en œuvre croissante de l'authentification multifacteur (MFA) au sein des entreprises, incitant les acteurs de la menace à adapter leurs stratégies pour contourner les couches de sécurité nouvellement introduites. Ils ont intégré des kits de phishing Adversary-in-the-middle (AitM) dans leurs tactiques pour extraire les informations d'identification, les cookies de session et les mots de passe à usage unique.
La société de sécurité d'entreprise a noté que les attaquants utilisent des techniques d'automatisation avancées pour identifier rapidement et avec précision si un utilisateur hameçonné occupe un poste important, lui permettant d'accéder instantanément au compte. Simultanément, ils ignorent les profils de phishing moins lucratifs.
EvilProxy a été initialement documenté par Resecurity en septembre 2022, soulignant sa capacité à compromettre les comptes d'utilisateurs liés à diverses plates-formes telles que Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, et Yandex, entre autres.
Cette boîte à outils est disponible par abonnement, avec un coût mensuel de 400 $. Cependant, les frais peuvent atteindre 600 $ pour les comptes Google.
Les boîtes à outils PhaaS signifient une évolution dans le paysage de la cybercriminalité, abaissant la barrière d'entrée pour les personnes ayant des compétences techniques limitées pour exécuter des attaques de phishing complexes à grande échelle, de manière transparente et rentable.
Que sont les attaques de phishing ?
Les attaques de phishing sont un type de cyberattaque dans laquelle les attaquants utilisent des tactiques trompeuses pour inciter les individus à révéler des informations sensibles, telles que des identifiants de connexion, des données personnelles ou des informations financières. Ces attaques se produisent généralement par le biais d'e-mails, de messages ou de sites Web qui se font passer pour des entités légitimes, ce qui les rend dignes de confiance et convaincants.
Les principales caractéristiques des attaques de phishing incluent :
Communication trompeuse : les attaques de phishing impliquent souvent des e-mails, des SMS ou des messages sur les réseaux sociaux qui semblent provenir de sources légitimes, telles que des banques, des plateformes de réseaux sociaux, des agences gouvernementales ou des entreprises bien connues. Les attaquants utilisent ces identités usurpées pour gagner la confiance du destinataire.
Urgence ou peur : les messages d'hameçonnage créent souvent un sentiment d'urgence ou de peur pour inciter les destinataires à agir immédiatement. Les tactiques courantes consistent à affirmer qu'un compte a été compromis, qu'un paiement est dû ou qu'une mise à jour urgente est requise.
Liens et pièces jointes : les messages d'hameçonnage contiennent des liens vers de faux sites Web ou des pièces jointes malveillantes. Ces liens peuvent diriger les destinataires vers des sites Web qui ressemblent beaucoup à des sites Web légitimes, mais qui sont conçus pour voler des informations ou diffuser des logiciels malveillants.
Sites Web usurpés : les attaquants créent de faux sites Web qui imitent étroitement l'apparence de sites légitimes pour inciter les utilisateurs à entrer leurs informations d'identification. Ces sites ont souvent des URL ou des noms de domaine similaires avec de légères variations.
Vol d'informations d'identification : l'objectif principal de la plupart des attaques de phishing est de voler les informations d'identification de connexion, y compris les noms d'utilisateur et les mots de passe. Les attaquants utilisent ensuite ces informations d'identification pour obtenir un accès non autorisé aux comptes.
