Attaque Aitm

Les acteurs de la menace à l’origine d’une campagne de phishing à grande échelle par l’adversaire au milieu (AiTM) ciblant les utilisateurs professionnels des services de messagerie Microsoft ont également jeté leur dévolu sur les utilisateurs de Google Workspace.

« Cette campagne ciblait spécifiquement les directeurs généraux et autres cadres supérieurs de diverses organisations qui utilisent [Google Workspace] », les chercheurs de Zscaler Sudeep Singh et Jagadeeswar Ramanukolanu détaillé dans un rapport publié ce mois-ci.

La Cyber-Sécurité

Les attaques de phishing AitM auraient commencé à la mi-juillet 2022, suivant un mode opératoire similaire à celui d’une campagne d’ingénierie sociale conçue pour siphonner les informations d’identification Microsoft des utilisateurs et même contourner l’authentification multifacteur.

La campagne de phishing Gmail AiTM à faible volume implique également l’utilisation des e-mails compromis des directeurs généraux pour mener d’autres attaques de phishing par l’acteur de la menace, les attaques utilisant également plusieurs domaines compromis comme redirecteur d’URL intermédiaire pour amener les victimes à la page de destination.

Utilisateurs Google G Suite Enterprise

Les chaînes d’attaque impliquent l’envoi d’e-mails d’expiration de mot de passe à des cibles potentielles qui contiennent un lien malveillant intégré pour soi-disant « étendre votre accès », en appuyant sur ce qui amène le destinataire à ouvrir les pages de redirection de Google Ads et Snapchat pour charger l’URL de la page de phishing.

Publicité

Outre l’abus de redirection ouverte, une deuxième variante des attaques repose sur des sites infectés qui hébergent une version encodée en Base64 du redirecteur de la prochaine étape et l’adresse e-mail de la victime dans l’URL. Ce redirecteur intermédiaire est un code JavaScript qui pointe vers une page de phishing Gmail.

La Cyber-Sécurité

Dans un cas mis en évidence par Zscaler, la page de redirection utilisée dans l’attaque de phishing Microsoft AiTM le 11 juillet 2022 a été mise à jour pour diriger l’utilisateur vers une page de phishing Gmail AiTM, connectant les deux campagnes au même acteur de la menace.

« Il y avait également un chevauchement d’infrastructures, et nous avons même identifié plusieurs cas dans lesquels l’acteur de la menace est passé du phishing Microsoft AiTM au phishing Gmail en utilisant la même infrastructure », ont déclaré les chercheurs.

Les résultats indiquent que les sauvegardes d’authentification multifactorielle ne peuvent à elles seules offrir une protection contre les attaques de phishing avancées, ce qui oblige les utilisateurs à examiner les URL avant de saisir les informations d’identification et à s’abstenir d’ouvrir les pièces jointes ou de cliquer sur les liens dans les e-mails envoyés par des sources non fiables ou inconnues.

Rate this post
Publicité
Article précédentXiaomi a expédié plus de 7 millions de smartphones 5G en Inde
Article suivantRainbow Friends – comment jouer, personnages, jumpscares, et plus
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici