{"id":732340,"date":"2023-05-13T07:46:36","date_gmt":"2023-05-13T09:46:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-nouvelle-plateforme-de-phishing-as-a-service-permet-aux-cybercriminels-de-generer-des-pages-de-phishing-convaincantes\/"},"modified":"2023-05-13T07:46:40","modified_gmt":"2023-05-13T09:46:40","slug":"une-nouvelle-plateforme-de-phishing-as-a-service-permet-aux-cybercriminels-de-generer-des-pages-de-phishing-convaincantes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-nouvelle-plateforme-de-phishing-as-a-service-permet-aux-cybercriminels-de-generer-des-pages-de-phishing-convaincantes\/","title":{"rendered":"Une nouvelle plateforme de phishing-as-a-service permet aux cybercriminels de g\u00e9n\u00e9rer des pages de phishing convaincantes"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>13 mai 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Une nouvelle plateforme de phishing-as-a-service (PhaaS ou PaaS) nomm\u00e9e Grandeur<\/strong> a \u00e9t\u00e9 exploit\u00e9 par les cybercriminels pour cibler les utilisateurs professionnels du service cloud Microsoft 365 depuis au moins la mi-2022, abaissant efficacement la barre d’entr\u00e9e pour les attaques de phishing.<\/p>\n

“La grandeur, pour l’instant, se concentre uniquement sur les pages de phishing Microsoft 365, fournissant \u00e0 ses affili\u00e9s un g\u00e9n\u00e9rateur de pi\u00e8ces jointes et de liens qui cr\u00e9e des pages de leurre et de connexion tr\u00e8s convaincantes”, a d\u00e9clar\u00e9 Tiago Pereira, chercheur chez Cisco Talos. a dit<\/a>.<\/p>\n

“Il contient des fonctionnalit\u00e9s telles que le pr\u00e9-remplissage de l’adresse e-mail de la victime et l’affichage du logo et de l’image d’arri\u00e8re-plan appropri\u00e9s de l’entreprise, extraits de la v\u00e9ritable page de connexion Microsoft 365 de l’organisation cible.”<\/p>\n

Les campagnes impliquant Greatness ont principalement des entit\u00e9s de fabrication, de soins de sant\u00e9 et de technologie situ\u00e9es aux \u00c9tats-Unis, au Royaume-Uni, en Australie, en Afrique du Sud et au Canada, avec un pic d’activit\u00e9 d\u00e9tect\u00e9 en d\u00e9cembre 2022 et mars 2023.<\/p>\n

\"La<\/a><\/center><\/div>\n

Les kits de phishing comme Greatness offrent aux acteurs de la menace, d\u00e9butants ou non, un guichet unique rentable et \u00e9volutif, permettant de concevoir des pages de connexion convaincantes associ\u00e9es \u00e0 divers services en ligne et de contourner les protections d’authentification \u00e0 deux facteurs (2FA).<\/p>\n

Plus pr\u00e9cis\u00e9ment, les pages leurres d’aspect authentique fonctionnent comme un proxy inverse<\/a> pour r\u00e9colter les informations d’identification et les mots de passe \u00e0 usage unique bas\u00e9s sur le temps (TOTP) saisis par les victimes.<\/p>\n

\"hame\u00e7onnage<\/div>\n

Les cha\u00eenes d’attaque commencent par des e-mails malveillants contenant une pi\u00e8ce jointe HTML qui, \u00e0 l’ouverture, ex\u00e9cute un code JavaScript obscurci qui redirige l’utilisateur vers une page de destination avec l’adresse e-mail du destinataire d\u00e9j\u00e0 pr\u00e9-remplie et demande son mot de passe et son code MFA.<\/p>\n

Les informations d’identification et les jetons saisis sont ensuite transmis au canal Telegram de l’affili\u00e9 pour obtenir un acc\u00e8s non autoris\u00e9 aux comptes en question.<\/p>\n

Le kit de phishing AiTM est \u00e9galement livr\u00e9 avec un panneau d’administration qui permet \u00e0 l’affili\u00e9 de configurer le bot Telegram, de suivre les informations vol\u00e9es et m\u00eame de cr\u00e9er des pi\u00e8ces jointes ou des liens pi\u00e9g\u00e9s.<\/p>\n

WEBINAIRE \u00c0 VENIR<\/span><\/p>\n

Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n

Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n

Sauvez ma place\u00a0!<\/a><\/div>\n

De plus, chaque affili\u00e9 doit avoir une cl\u00e9 API valide afin de pouvoir charger la page de phishing. La cl\u00e9 API emp\u00eache \u00e9galement les adresses IP ind\u00e9sirables d’afficher la page de phishing et facilite la communication en arri\u00e8re-plan avec la page de connexion Microsoft 365 r\u00e9elle en se faisant passer pour la victime.<\/p>\n

\"hame\u00e7onnage<\/div>\n

“En travaillant ensemble, le kit de phishing et l’API effectuent une attaque” man-in-the-middle “, demandant des informations \u00e0 la victime que l’API soumettra ensuite \u00e0 la page de connexion l\u00e9gitime en temps r\u00e9el”, a d\u00e9clar\u00e9 Pereira.<\/p>\n

“Cela permet \u00e0 l’affili\u00e9 PaaS de voler les noms d’utilisateur et les mots de passe, ainsi que les cookies de session authentifi\u00e9s si la victime utilise MFA.”<\/p>\n

Les d\u00e9couvertes arrivent alors que Microsoft a commenc\u00e9<\/a> application de la correspondance des num\u00e9ros dans les notifications push de Microsoft Authenticator \u00e0 partir du 8 mai 2023, pour am\u00e9liorer les protections 2FA et repousser les attaques \u00e0 la bombe rapides.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n