Les experts en cybersécurité mettent en garde contre une nouvelle campagne généralisée de compromission des e-mails professionnels (BEC), qui cherche à rediriger des transactions d’argent importantes vers des comptes bancaires appartenant aux attaquants.
L’idée est simple en théorie : les attaquants compromettraient d’abord une messagerie professionnelle (s’ouvre dans un nouvel onglet) compte par l’utilisation du phishing. Ensuite, ils atterriront dans la boîte de réception et s’y cacheront, surveillant diverses chaînes et fils de discussion, jusqu’à ce qu’ils en identifient un où un virement bancaire est prévu. Ensuite, lorsque la planification est terminée, et juste avant que la victime n’envoie les fonds, l’attaquant répondra à la chaîne de messagerie demandant que les fonds soient envoyés ailleurs, disant que le compte bancaire d’origine a été gelé en raison d’un audit financier.
Les attaquants voleraient « plusieurs millions de dollars » par incident et utiliseraient également des domaines de typosquattage pour tromper davantage les victimes.
Abus de DocuSign
La campagne a été repérée par des chercheurs de Mitiga qui enquêtaient sur un cas de réponse à un incident.
Tout commence par une attaque de phishing sur la messagerie professionnelle de la victime. Mitiga a découvert que cet e-mail est conçu pour donner l’impression qu’il provient de DocuSign et qu’il comporte généralement un bouton indiquant « Revoir le document ». Les cibles qui appuient sur le bouton seront redirigées vers une page de phishing conçue pour imiter une page de connexion de domaine Windows. Ensuite, avec l’aide d’un outil appelé evilginx2, les attaquants peuvent voler des cookies de session et ainsi contourner l’authentification multi-facteurs (MFA).
Le vol de cookies de session pour contourner la MFA n’est pas une pratique nouvelle, et les entreprises ont commencé à la contrer en réduisant la durée des sessions. C’est plus sûr, mais pas aussi pratique, car les utilisateurs doivent se réauthentifier plus souvent sur leurs terminaux (s’ouvre dans un nouvel onglet). Pour résoudre ce problème, les pirates ont commencé à enregistrer des appareils MFA supplémentaires sur les comptes compromis, car cette décision ne déclenche aucune notification.
Cependant, les modifications MFA sur les comptes d’utilisateurs peuvent être suivies via les journaux d’audit Azure Active Directory, ont conclu les chercheurs.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)