Les chercheurs affirment que la campagne utilise une machine virtuelle JavaScript basée sur un navigateur pour masquer le vol d’informations d’identification et intercepter l’AMF à grande échelle.
Une opération de phishing en tant que service (PhaaS) très active connue sous le nom de FlowerStorm a commencé à utiliser une machine virtuelle basée sur un navigateur pour dissimuler le code de vol d’informations d’identification, marquant ce que les chercheurs considèrent comme une escalade de la sophistication des kits de phishing qui pourrait rendre les attaques plus difficiles à détecter pour les outils traditionnels de messagerie électronique et d’analyse statique.
Des chercheurs de Sublime Security ont déclaré en avril avoir identifié la campagne, qui utilisait KrakVM, une machine virtuelle JavaScript open source récemment publiée sur GitHub, pour masquer le code malveillant transmis via des pièces jointes HTML dans des e-mails de phishing.
La campagne cible les informations d’identification et les codes d’authentification multifacteur (MFA) pour des services tels que Microsoft 365, Hotmail et GoDaddy, tout en prenant également en charge les techniques d’interception de l’adversaire au milieu (AiTM) conçues pour détourner les sessions authentifiées.
« Ce qui rend cette campagne remarquable, c’est l’adoption de KrakVM comme emballage de livraison dans le mois suivant la sortie publique du projet », ont écrit les chercheurs dans un rapport.
Les résultats mettent en évidence la façon dont les opérations de phishing adoptent de plus en plus des techniques traditionnellement associées aux campagnes de logiciels malveillants sophistiquées, notamment des environnements d’exécution virtualisés et des cadres d’obscurcissement en couches.
VM basée sur un navigateur utilisée pour masquer les charges utiles de phishing
Selon le rapport, les victimes reçoivent des e-mails de phishing contenant des pièces jointes HTML déguisées en avis de messagerie vocale, factures ou communications avec les fournisseurs. Lorsqu’il est ouvert dans un navigateur, JavaScript intégré lance immédiatement un flux de travail de collecte d’informations d’identification adapté à l’environnement de la victime.
La chaîne d’attaque utilise KrakVM pour compiler du JavaScript malveillant en bytecode crypté, qui est exécuté via une machine virtuelle exécutée dans le navigateur.
« KrakVM compile JavaScript en octets illisibles », ont écrit les chercheurs, ajoutant que la machine virtuelle interprète et exécute ensuite la charge utile au moment de l’exécution.
L’approche ajoute plusieurs couches d’obscurcissement conçues pour compliquer l’analyse statique et échapper aux outils traditionnels de sécurité de la messagerie.
Bien que l’obfuscation basée sur les machines virtuelles soit utilisée depuis longtemps dans les packers de logiciels malveillants et les systèmes de protection des logiciels, son adoption dans les kits de phishing à grande échelle semble beaucoup moins courante.
La campagne s’adapte dynamiquement aux victimes
Après la désobscurcissement, la charge utile de phishing charge l’infrastructure conçue pour usurper l’identité de Microsoft 365 et d’autres portails de connexion tout en s’adaptant dynamiquement aux utilisateurs ciblés.
Selon le rapport, le malware peut déterminer quel fournisseur d’authentification doit être usurpé, précharger les adresses e-mail des victimes dans des pages de phishing et personnaliser les éléments de marque tels que les logos et les arrière-plans de l’entreprise.
Le kit de phishing énumère également les méthodes MFA enregistrées sur les comptes des victimes, notamment les notifications push Microsoft Authenticator, les codes TOTP, l’authentification SMS et les flux de vérification vocale.
Lorsque la victime saisit ses informations d’identification, le kit les transmet à un serveur de commande et de contrôle, qui tente une véritable connexion avec le service cible. Si le service demande une MFA, le kit présente à la victime une invite correspondante, capture la réponse et la transmet pour terminer la session de l’attaquant.
Les chercheurs ont déclaré que le cadre prend en charge l’interception AiTM en temps réel, permettant aux opérateurs de relayer les sessions d’authentification tout en récoltant les informations d’identification et les jetons MFA.
« Une caractéristique unique largement connue de FlowerStorm est sa capacité d’interception avancée AiTM et MFA », indique le rapport.
Les défis de détection augmentent pour les défenseurs
La combinaison de l’obscurcissement basé sur les VM et de la charge utile compatible AiTM crée une lacune de détection pour les outils de sécurité de la messagerie.
Sublime Security a déclaré que son propre système Autonomous Security Analyst a identifié l’attaque comme malveillante, en partie à cause de l’utilisation dans la pièce jointe HTML de « JavaScript fortement obscurci avec un bytecode de machine virtuelle personnalisé ».
Les chercheurs ont également noté que KrakVM et FlowerStorm semblaient fonctionner à proximité de leurs configurations par défaut, ce qui suggère que la campagne ne nécessitait pas de sophistication technique avancée de la part des opérateurs.
Cela fait craindre que les techniques d’obscurcissement basées sur les machines virtuelles ne se propagent rapidement dans les écosystèmes de phishing si les outils deviennent plus faciles à opérationnaliser, ajoute le rapport.
L’écosystème du phishing au sens large évolue
La campagne a ciblé des secteurs tels que les collectivités locales, la logistique, la vente au détail, les communications et l’immobilier, selon le rapport. Les chercheurs ont également identifié une infrastructure utilisant des domaines conçus pour ressembler aux systèmes judiciaires, aux portails d’entreprise et aux services liés à Microsoft.
Sublime a publié 153 indicateurs de compromission, dont des dizaines de sous-domaines sur les services de stockage d’objets cloud dans différentes régions, notamment Singapour, Bangkok, Francfort, Tokyo, Séoul, Jakarta et Ashburn.
Les chercheurs ont également identifié des modèles de dénomination de domaine qui chevauchent les rapports antérieurs de FlowerStorm, notamment des domaines en langue allemande assemblés à partir de mots anglais pour imiter des noms commerciaux légitimes.
Sophos avait documenté FlowerStorm en décembre 2024, après la sortie du kit suite à une interruption du service de phishing Rockstar2FA. Les chercheurs ont déclaré qu’ils n’avaient trouvé aucune preuve liant le développeur de KrakVM aux opérations de FlowerStorm.
Ces résultats surviennent alors que les équipes de sécurité sont confrontées à des campagnes de phishing de plus en plus sophistiquées qui mélangent le vol d’identifiants, l’interception MFA, le détournement de session et les techniques anti-analyse dans des chaînes d’attaque unifiées.
« Cette campagne ne représente probablement que la première utilisation des capacités d’obscurcissement de KrakVM », ont écrit les chercheurs. « Nous prévoyons des mises en œuvre plus complexes à mesure que son adoption se développe. »
