10 000 organisations depuis septembre 2021 ont été touché par une vaste campagne de phishing qui a volé les mots de passe des victimes, contourné la MFA.
Pour ce faire les attaquants ont utilisé une tactique connue sous le nom d’Adversary-in-the-Middle (AiTM).
Lors d’un précèdent article nous avions évoqué la technique de phishing, voyons cette fois une technique spécifique AiTM.
Hameçonnage AiTM
C’est quoi l’AiTM ?
Il s’agit d’une nouvelle technique de phishing encore plus efficace.
Cette méthode utilise des sites Web usurpés qui déploient un serveur proxy entre un utilisateur cible et le site Web que l’utilisateur souhaite visiter.
L’attaquant peut voler et intercepter le mot de passe de la victime, détourner les sessions de connexion et le cookie de session (un cookie permet d’authentifier un utilisateur chaque fois qu’il visite un site) et ignorer le processus d’authentification, car le phishing AiTM n’est pas lié à une vulnérabilité dans l’authentification.
Campagne
Tout a commencé par un leurre sous forme d’ e-mail informant le destinataire qu’il devait prendre un message vocal. Les attaquants ont usurpé ensuite la page d’authentification en ligne d’Office (le site Web proxy était la page de connexion Azure Active Directory de l’organisation) afin de voler les cookies de session.
De cette façon le cybercriminel est en possession des informations d’identification et des cookies de session et peut ainsi s’identifier tout en ignorant le processus d’authentification, même si la MFA est activée. Cette méthode leur permet d’accéder aux boîtes aux lettres qui devient une voie royale aux attaques d’ e-mails professionnels (BEC).
L’originalité de cette technique est que les cybercriminels ne sont pas passés par un site de phishing.
Quelles solutions ?
Cette stratégie d’attaque peut être contrée par des solutions telles que :
- L’anti-phishing et des solutions antivirus qui détectent le vol de cookies de session.
TEHTRIS et son partenaire Proofpoint œuvrent pour une navigation plus sûre en connectant les solutions Email Protection (EP) et Targeted Attack Protection (TAP)
Nous renforçons la protection des clients avec une détection et une réponse aux menaces allant de l’email au endpoint.
TEHTRIS DNSFW, TEHTRIS MTD et EPP bloquent les domaines malveillants
Il est donc conseiller de rajouter une couche de sécurité supplémentaire :
- Sur les postes de travail avec le module Antiphishing de l’EPP : afin de détecter le clic sur une URL malveillante.
- Sur les mobiles, avec notamment MTD, qui va analyser le trafic réseau et détecter la navigation sur des sites potentiellement malveillants.
Il est également possible de compléter avec un DNSFW placé à des endroits stratégiques afin de contrôler les connexions réseaux des différentes machines et bloquer les requêtes malveillantes.
- Enfin il est important que les équipes de défense puissent s’appuyer sur l’intelligence artificielle, et l’analyse UEBA.
TEHTRIS CYBERIA est un module d’Intelligence Artificielle global et collectif qui vise à améliorer la finesse de détection des menaces
L’analyse comportementale a ainsi une action d’anticipation car elle va permettre de repérer au plus tôt une menace éventuelle.