10
Les analystes des menaces de Barracuda ont soulevé des inquiétudes concernant une nouvelle vague de menaces par e-mail ciblant les organisations du monde entier, les gangs de phishing abusant de plus en plus Microsoft Oauth et une variété de plateformes en ligne pour lancer des attaques.
OAuth, une norme qui permet aux utilisateurs de se connecter à des applications tierces telles que Microsoft 365 sans partager des mots de passe, est devenu un objectif majeur pour les attaquants. Selon Barracuda, les «kits avancés de phishing en tant que service (PHAAS)» exploitent les faiblesses des implémentations OAuth pour obtenir un accès non autorisé et persistant aux comptes et aux données sensibles.
Les chercheurs de la société ont expliqué que l’abus d’Oauth permet aux attaquants de «voler des jetons d’accès, d’identiter les utilisateurs, d’utiliser des informations d’identification des clients volés ou détournés pour accéder silencieusement aux comptes et aux données personnelles, à enregistrer des applications malveillantes afin qu’elles semblent dignes de confiance et profitent de chèques faibles pour les adresses du site Web utilisées pendant la connexion ou la redirection.» Les attaquants peuvent également exploiter les fonctionnalités de login automatique pour capturer les codes d’autorisation à l’insu de l’utilisateur.
Barracuda a mis en évidence les attaques à grande échelle, automatisées et rationalisées impliquant des kits de phishing tels que Tycoon et EvilProxy. Dans un exemple, une attaque de Tycoon 2FA a redirigé les utilisateurs vers un site de phishing qui a usurpé l’identité de Microsoft pour voler des informations d’identification de connexion. Une autre attaque impliquait EvilProxy, conçu pour contourner les séances d’authentification multifactrice et de détournement, en utilisant la commande « invite = non » pour supprimer les invites de connexion et rediriger silencieusement les utilisateurs connectés.
«Ces applications malveillantes sont soigneusement conçues pour imiter des applications ou des services légitimes», ont noté les analystes. Une fois le consentement accordé par un utilisateur sans méfiance, les attaquants peuvent accéder sans avoir besoin d’un mot de passe ou d’une authentification multifactor, s’appuyant plutôt sur les jetons OAuth.
Pour atténuer les risques, Barracuda a conseillé aux organisations de «permettre uniquement des liens de redirection de confiance, d’envisager d’ajouter un code secret à chaque demande de connexion, d’éviter la sélection automatique des comptes, de vérifier que les jetons de connexion sont authentiques et non expirés, et tenir les journaux pour attraper quelque chose d’inhabituel.»
Au-delà de OAuth, Barracuda a également signalé des attaquants abusant de plus en plus de plates-formes informatiques sans serveur, des services de création de sites Web et des outils de productivité pour héberger des pages de phishing. Le kit Logokit Phishing-As-A-Service a été vu exploitant une plate-forme JavaScript sans serveur, hébergeant un contenu malveillant derrière un domaine légitime. «La création d’une URL de phishing sur le site maltraité est extrêmement simple», a observé Barracuda, avec des attaquants capables de déployer quelques lignes de code pour générer des liens malveillants partageables.
EvilProxy a également été détecté à l’aide d’un constructeur de sites Web populaire et d’un outil de productivité visuelle pour rediriger les victimes. Dans un cas, les attaquants ont intégré un lien de phishing à l’intérieur d’une seule image dans un e-mail, conçu pour ressembler à un message de partage de documents.
Les analystes ont en outre identifié des schémas exploitant des services Google de confiance. « Les attaquants exploitent la structure URL de Google Translate en codant pour les domaines malveillants pour apparaître comme des sous-domaines de » tradlate.goog « », a déclaré Barracuda, permettant des liens malveillants vers des filtres de contournement.
Les clients SendGrid ont également été ciblés. Une campagne de phishing a utilisé des lignes d’objet telles que «les erreurs d’API affectant la livraison des e-mails» pour inciter les développeurs à cliquer sur des liens malveillants. Les comptes SendGrid compromis ont ensuite été utilisés pour envoyer plus de courriels de phishing, contournant souvent des filtres de sécurité en raison des enregistrements d’authentification valides.
Pendant ce temps, Google Classroom et Meet ont été maltraités pour des campagnes d’escroquerie impliquant de fausses offres de revendeurs ou de fonds. Les attaquants ont créé des classes fausses ou des utilisateurs de masse pour rencontrer des séances qui les ont dirigé vers les numéros WhatsApp, où des plans frauduleux ont été réalisés.
Barracuda a souligné que sa suite de protection par e-mail est conçue pour aider les organisations à se défendre contre de telles attaques. Il comprend des fonctionnalités telles que la défense de la passerelle par e-mail, la protection d’identité, la réponse aux incidents, la protection contre la fraude du domaine et la sauvegarde du nuage à cloud. La société a souligné que sa solution «combine l’intelligence artificielle et l’intégration profonde avec Microsoft 365 pour se prémunir contre les attaques de phishing et d’identité hyper ciblées.»
Au fur et à mesure que les menaces de phishing évoluent, Barracuda a averti que les attaquants sont de plus en plus sophistiqués pour exploiter à la fois les vulnérabilités techniques et les utilisateurs de confiance placent sur des plateformes légitimes. Les directives de l’entreprise sont claires: la vigilance, les garanties techniques et l’éducation restent essentielles pour contrer ces menaces.