Microsoft est avertissement de campagnes de cyberattaques qui abusent des services d’hébergement de fichiers légitimes tels que SharePoint, OneDrive et Dropbox, largement utilisés dans les environnements d’entreprise comme tactique d’évasion de la défense.
L’objectif final des campagnes est large et varié, permettant aux acteurs malveillants de compromettre les identités et les appareils et de mener des attaques de compromission de la messagerie professionnelle (BEC), qui aboutissent finalement à une fraude financière, à une exfiltration de données et à un mouvement latéral vers d’autres points finaux.
La militarisation des services Internet légitimes (LIS) est un vecteur de risque de plus en plus populaire adopté par les adversaires pour se fondre dans le trafic réseau légitime, de telle manière qu’il contourne souvent les défenses de sécurité traditionnelles et complique les efforts d’attribution.
Cette approche est également appelée LOTS (living-off-trusted-sites), car elle exploite la confiance et la familiarité de ces services pour contourner les garde-fous de sécurité de la messagerie et diffuser des logiciels malveillants.
Microsoft a déclaré avoir observé une nouvelle tendance dans les campagnes de phishing exploitant des services d’hébergement de fichiers légitimes depuis la mi-avril 2024, impliquant des fichiers avec un accès restreint et des restrictions de visualisation seule.
De telles attaques commencent souvent par la compromission d’un utilisateur au sein d’un fournisseur de confiance, exploitant l’accès pour stocker des fichiers et des charges utiles malveillants sur le service d’hébergement de fichiers en vue d’un partage ultérieur avec une entité cible.
« Les fichiers envoyés via les e-mails de phishing sont configurés pour être accessibles uniquement au destinataire désigné », indique-t-il. « Cela nécessite que le destinataire soit connecté au service de partage de fichiers – que ce soit Dropbox, OneDrive ou SharePoint – ou qu’il se réauthentifie en saisissant son adresse e-mail ainsi qu’un mot de passe à usage unique (OTP) reçu via un service de notification. « .
De plus, les fichiers partagés dans le cadre des attaques de phishing sont définis en mode « affichage uniquement », empêchant ainsi le téléchargement et la détection des URL intégrées dans le fichier.
Un destinataire qui tente d’accéder au fichier partagé est ensuite invité à vérifier son identité en fournissant son adresse e-mail et un mot de passe à usage unique envoyé à son compte de messagerie.
Une fois leur autorisation réussie, la cible est invitée à cliquer sur un autre lien pour afficher le contenu réel. Cependant, cela les redirige vers une page de phishing de type adversaire au milieu (AitM) qui vole leur mot de passe et leurs jetons d’authentification à deux facteurs (2FA).
Cela permet non seulement aux acteurs malveillants de prendre le contrôle du compte, mais également de l’utiliser pour perpétuer d’autres escroqueries, notamment les attaques BEC et la fraude financière.
« Bien que ces campagnes soient de nature générique et opportuniste, elles impliquent des techniques sophistiquées pour réaliser de l’ingénierie sociale, échapper à la détection et étendre la portée des acteurs malveillants à d’autres comptes et locataires », a déclaré l’équipe Microsoft Threat Intelligence.
Ce développement intervient alors que Sekoia a détaillé un nouveau kit de phishing AitM appelé Mamba 2FA, vendu sous le nom de phishing-as-a-service (PhaaS) à d’autres acteurs malveillants pour mener des actions malveillantes. campagnes de phishing par courrier électronique qui propagent des pièces jointes HTML imitant les pages de connexion Microsoft 365.
Le kit, proposé sur la base d’un abonnement au prix de 250 $ par mois, prend en charge Microsoft Entra ID, AD FS, les fournisseurs SSO tiers et les comptes grand public. Mamba 2FA est activement utilisé depuis novembre 2023.
« Il gère les vérifications en deux étapes pour les méthodes MFA non résistantes au phishing, telles que les codes à usage unique et les notifications d’applications », a déclaré la société française de cybersécurité. « Les informations d’identification et les cookies volés sont instantanément envoyés à l’attaquant via un robot Telegram. »