Phishing : tout comprendre des kits de contournement de la MFA
Loin d’être inutile, l’authentification à facteurs multiples n’est pas incontournable pour autant. Des kits de hameçonnage taillés pour cela sont proposés en mode service par les cybercriminels. Les chercheurs de Sekoia.io se sont penchés dessus.
On parle de kits de phishing AitM, pour Adversary-in-the-Middle, ou adversaire au milieu. Leur principal objectif ? Contourner les mécanismes d’authentification renforcée, à facteurs multiples (MFA), en collectant des cookies de session.
Par quelle magie ? « Les serveurs de phishing AitM transmettent les informations saisies par l’utilisateur, notamment les noms d’utilisateur, les mots de passe et les codes MFA, à l’API d’authentification légitime tout en interceptant le cookie de session renvoyé. Grâce à ce cookie, un pirate peut rejouer la session et accéder au compte de la victime sans avoir à effectuer d’autre authentification », expliquent les chercheurs de Sekoia.io.
Ceux-ci suivent de près cette menace, à partir de « télémétrie, de suivi des infrastructures des adversaires et de surveillance des campagnes ». De quoi établir un classement des kits de hameçonnage les plus prisés des cybercriminels : dans l’ordre décroissant Tycoon 2FA, Storm-1167, NakedPages, Sneaky 2FA, EvilProxy, et Evilginx.
Dans leur rapport, Quentin Bourgue et Grégoire Clermont relèvent que les acteurs malveillants ont, ces derniers mois, « adopté de nouvelles techniques, tactiques et procédures (TTP) dans le cadre de campagnes de phishing AitM à grande échelle, passant des codes QR aux pièces jointes HTML et, plus récemment, aux fichiers SVG pour la distribution de liens ».
Ils soulignent en outre que « de nombreux kits de phishing AitM complets et prêts à l’emploi sont facilement disponibles dans l’écosystème de la cybercriminalité, proposés à bas prix et ne nécessitant qu’un minimum d’expertise technique ».
Qui plus est, « l’écosystème de la cybercriminalité spécialisé dans le phishing AitM et les attaques de type Business Email Compromise (BEC) devient de plus en plus professionnel, offrant une gamme plus large de produits et de services ».
Ce sont surtout les employés travaillant dans les départements des finances, des ventes, des ressources humaines, et les cadres dirigeants qui sont visés, afin de « capitaliser sur leurs liens avec les opérations financières ». De quoi faciliter les opérations frauduleuses. L’appât ? Des sujets liés aux salaires, aux contrats, à la fiscalité, aux congés, mais aussi à l’informatique et à la sécurité, notamment.
Les leviers psychologiques employés pour berner les cibles ? Classique : urgence, impératif de confidentialité, exigence de sécurité, entre autres.
Depuis le printemps, l’un des principaux vecteurs utilisés est un fichier SVG en pièce jointe, contenant soit du code JavaScript, soit un attribut xlink:href pointant sur une ressource piégée.
De là, pour conduire à la page de phishing, et « contourner les filtres de messagerie et empêcher les scanners d’accéder aux domaines malveillants, les adversaires insèrent fréquemment une ou plusieurs étapes de redirection ». À ces étapes, des mécanismes de filtrage : « en général, ces mécanismes vérifient que l’adresse IP de l’utilisateur provient d’un fournisseur d’accès Internet résidentiel (FAI) et que le système d’exploitation et le navigateur Web sont conformes à ceux utilisés dans les environnements d’entreprise ».
Pour faire plus sérieux, « dans la plupart des campagnes de phishing AitM, la page malveillante est protégée par un CAPTCHA nécessitant une interaction humaine ». Ce n’est qu’après tout cela que le visiteur aboutit à l’actuelle page de hameçonnage imitant un portail d’authentification Microsoft 365 ou Google.
« Pour conserver l’accès, les pirates ajoutent souvent leur propre méthode d’authentification à deux facteurs après avoir compromis le compte. »
Quentin Bourgue, Grégoire Clermont et TDR teamChercheurs, Sekoia.io
L’opération réussie, l’acteur malveillant peut accéder à un compte de messagerie, mais également à d’autres ressources de l’entreprise affectée en profitant des mécanismes de fédération d’identité et de SSO. Et pas nécessairement de manière strictement ponctuelle.
Car, « pour conserver l’accès, les pirates ajoutent souvent leur propre méthode d’authentification à deux facteurs après avoir compromis le compte, ce qui leur permet de continuer à y accéder même si les cookies de session sont révoqués ».
Ce n’est pas tout : « ils peuvent également créer des règles de transfert d’e-mails qui redirigent automatiquement les messages entrants vers une adresse e-mail contrôlée par le pirate, ce qui lui permet de continuer à collecter des informations même après que la victime a réinitialisé son compte ».
Les motivations peuvent varier d’un assaillant à l’autre : ces kits de phishing peuvent aussi bien être utilisés à des fins purement crapuleuses que pour du cyberespionnage. Les chercheurs de Sekoia.io pointent notamment des acteurs attribués à la Chine et à la Russie.
Le rapport complet (PDF) de Quentin Bourgue et Grégoire Clermont contient de nombreux indicateurs susceptibles d’aider à la détection de ces menaces et à leur prévention, qu’il s’agisse de structure de noms de domaines utilisés ou des principaux systèmes autonomes associés à l’exploitation de ces kits de hameçonnage. De quoi affiner les règles de filtrage et de blocage de trafic afin de protéger ses utilisateurs.
