Grâce à sa nouvelle fonctionnalité navigateur dans le navigateur, l’outil aide les acteurs malveillants à tromper les employés pour qu’ils abandonnent leurs informations d’identification.
Depuis l’introduction de l’authentification multifacteur (MFA), les auteurs de menaces ont trouvé des moyens de contourner ce qui peut constituer une défense efficace contre les attaques de phishing.
Dans leur dernière initiative, les créateurs du kit Phishing-as-a-Service (PhaaS) Sneaky2FA ont ajouté une fonctionnalité de navigateur dans le navigateur (BITB) pour aider les escrocs à concevoir des pages de phishing qui trompent les victimes.
Cette fonction permet à l’escroc d’intégrer une fenêtre de navigateur sur le bureau de la victime contenant une page de phishing comprenant une barre d’adresse URL qui peut être personnalisée par l’attaquant pour ressembler à une adresse légitime, par exemple, de Microsoft en ligne. BITB diffère des attaques d’attaquant du milieu (AITM), dans lesquelles l’acteur malveillant crée une fenêtre de navigateur intégrée contenant la page de phishing réelle.
Les employés formés à la recherche d’URL suspectes pourraient même être trompés, car l’adresse Internet semble réelle. Cependant, la fenêtre contextuelle, activée via un proxy inverse, contient une iframe pointant vers un serveur malveillant qui capture les informations d’identification et les codes MFA saisis par la victime involontaire. L’attaquant peut ensuite voler la session en direct du compte ciblé, ainsi que les identifiants de l’utilisateur, en se connectant en temps réel.
Un avertissement aux OSC
Les tactiques du BITB se répandent, indique le rapport. Il note que Raccoon0365 était un autre service PhaaS qui a utilisé la fonctionnalité BITB après avoir annoncé qu’un « mini-panneau BITB » serait ajouté à ses offres. En septembre, Cloudflare et Microsoft ont démantelé l’infrastructure informatique de ce gang.
BITB est connu comme un concept depuis 2022, note David Shipley, responsable de la société canadienne de formation en sensibilisation à la sécurité Beauceron Security. En fait, a-t-il ajouté, il est de plus en plus utilisé par les équipes rouges avancées dans les tests d’intrusion pour contourner les contrôles de sécurité tels que MFA.
« Il n’a pas été largement utilisé parce qu’il n’était pas nécessaire pour accomplir le travail lorsqu’il s’agissait de compromettre les organisations », a-t-il déclaré. Mais à mesure que les défenses s’améliorent, il a vu l’utilisation de cette technique augmenter.
Ce qui est dangereux, dit-il, c’est que les outils de phishing en tant que service permettent aux criminels débutants d’utiliser plus facilement ces techniques plus avancées.
« C’est pourquoi j’ai toujours détesté que les gens utilisent un langage comme « résistant au phishing » ou, pire encore, « solutions anti-phishing ». Des contrôles d’identité supplémentaires comme la MFA ajoutent plus de friction et de résilience, mais peuvent toujours être contournés par des attaquants intelligents. C’est pourquoi il est essentiel que les organisations disposent à la fois d’un contrôle de sécurité technologique robuste et d’une communauté consciente. »
« C’est là que de nombreuses organisations éprouvent des difficultés », a-t-il déclaré. « Pas en instruisant les gens ou en transmettant des connaissances, mais en créant une culture de sécurité qui motive les gens à appliquer leurs connaissances. »
Contenu connexe : Comment MFA est piraté
L’ajout de BITB, ainsi que l’amélioration des techniques d’évasion de détection, signifient que les contrôles de sécurité traditionnels tels que les passerelles de messagerie, les filtres Web et les défenses basées sur les signatures continueront d’être contournés de manière fiable, indique le rapport de Push Security.
Un aperçu de Sneaky2FA
Sneaky2FA fonctionne via un robot complet sur Telegram, indique le rapport. Les clients auraient accès à une version sous licence et obscurcie du code source et la déploieraient de manière indépendante. Cela signifie qu’ils peuvent le personnaliser selon leurs besoins. D’un autre côté, note le rapport, les implémentations de Sneaky2FA peuvent être profilées et suivies de manière fiable en raison des similitudes de la base de code.
Sneaky2FA a souvent été vu utiliser des techniques anti-analyse pour détecter ou désactiver les outils de développement du navigateur afin qu’ils puissent bloquer les tentatives d’analyse de la page à la recherche de contenu malveillant, ajoute le rapport.
Les défenseurs doivent noter que le HTML et le JavaScript des pages Sneaky2FA sont fortement obscurcis pour échapper à la détection statique et à la correspondance de modèles, indique le rapport. Cela inclut l’utilisation de tactiques telles que la division du texte de l’interface utilisateur avec des balises invisibles, l’intégration d’éléments d’arrière-plan et d’interface sous forme d’images codées au lieu de texte, ainsi que d’autres modifications invisibles pour l’utilisateur, mais qui rendent difficile l’empreinte digitale de la page pour les outils d’analyse.
Les campagnes sont également connues pour utiliser une tactique de « graver et remplacer », se cachant derrière une nouvelle URL longue et aléatoire qui reste inactive ou diffuse un contenu inoffensif jusqu’à juste avant l’attaque, puis disparaît rapidement. Il s’agit de vaincre la réputation de domaine ou les technologies de défense de correspondance de modèles.
Un jeu de chat et de souris
« Nous encourageons les équipes de sécurité à réévaluer leur approche de la détection du phishing », a-t-il déclaré. « (Le phishing) devient de plus en plus sophistiqué, il ne s’agit plus seulement d’un problème de courrier électronique et les risques sont importants. Un compte cloud d’entreprise compromis (par exemple, Microsoft ou Google Workspace) est effectivement la clé de tout ce à quoi vous accédez au cours de la journée de travail moderne. Il ne s’agit pas seulement de l’accès direct à votre suite cloud d’entreprise, mais aussi de l’accès aux applications en aval via SSO (authentification unique) qui peut être détourné par l’attaquant. La plupart des violations commencent aujourd’hui par des identités compromises, par rapport aux exploits logiciels. ou l’exécution de logiciels malveillants.
Roger Grimes, conseiller RSSI en matière de défense basée sur les données chez KnowBe4, fournisseur de formation en sensibilisation à la sécurité, a noté que les fournisseurs de navigateurs ont travaillé pendant des décennies pour essayer d’empêcher l’apparition de boîtes contextuelles malveillantes, car elles sont très délicates. Cependant, a-t-il ajouté, les criminels continuent de trouver des moyens de contourner les protections.
D’un autre côté, a-t-il ajouté, il est de plus en plus difficile pour les criminels de créer des boîtes contextuelles malveillantes. Les utilisateurs ont toujours la possibilité de voir ce qui se passe s’ils en sont conscients, a-t-il déclaré. « Malheureusement », a-t-il déclaré, « un grand pourcentage d’utilisateurs ne le font pas ».
« Les fournisseurs de navigateurs réagiront et combleront les trous, mais c’est toujours un jeu réactif du chat et de la souris avec les défenseurs toujours derrière. » dit-il. « Très bientôt, les outils de défense basés sur l’IA seront plus efficaces pour empêcher que ces phénomènes ne se produisent. Nous devons simplement combler le vide pour l’instant. »
