Un nouvel outil vient de rejoindre l’arsenal des cybercriminels : VoidProxy. Découvert par des chercheurs d’Okta Threat Intelligence, VoidProxy est une plateforme de phishing-as-a-service (PhaaS). Moyennant le paiement d’un abonnement, la plateforme offre aux pirates tout ce qu’il faut pour mener à bien une attaque de phishing sans devoir coder quoi que ce soit. Tout est fourni, clé en main, sur la plateforme criminelle. C’est une « menace mature, évolutive et évasive » pour les comptes, y compris ceux protégés par des mesures de sécurité additionnelles. Jusqu’ici, la plateforme a échappé aux chercheurs grâce à « plusieurs couches de fonctionnalités anti-analyse ».
À lire aussi : Cette cyberattaque mondiale potentiellement « dévastatrice » est un échec
Le mode opératoire de VoidProxy
Comme l’ont constaté les chercheurs, la plateforme est calibrée pour s’attaquer aux comptes des utilisateurs de Microsoft 365 et de Google. Pour arriver à ses fins, VoidProxy s’appuie sur des cyberattaques reposant sur des tactiques d’adversaire-au-milieu (Adversary-in-the-Middle).
Ce type d’offensive consiste à venir s’intercaler entre l’utilisateur et le service visé, en l’occurrence Google ou Microsoft, avec une page de connexion piégée. Lorsqu’une victime clique sur un lien frauduleux et saisit ses identifiants, les pirates récupèrent directement les informations. L’attaque permet d’intercepter en temps réel mots de passe, codes de sécurité et même de contourner la double authentification.
À lire aussi : Webcam piratée – ce malware espion prend en photo les internautes qui regardent du porno
Des mails de phishing convaincants
Les attaques menées avec VoidProxy débutent avec des mails de phishing. Pour piéger les internautes, les cybercriminels se servent de comptes légitimes, mais compromis par leurs soins, afin d’envoyer les messages frauduleux. Dans les mails, on trouve des liens raccourcis destinés à rediriger la cible sur un site de phishing. Ces sites factices sont hébergés sur des domaines jetables vendus à prix cassé, comme .icu, .sbs, .cfd, .xyz, .top et .home.
Sur le site, l’internaute tombe sur une page de connexion singeant le site officiel de Google ou de Microsoft. Ces pages sont taillées pour aspirer les noms d’utilisateur, les mots de passe ainsi que les codes pour l’authentification à deux facteurs. De cette manière, les pirates peuvent compromettre les comptes qui sont protégés par l’authentification multifactorielle.
Dans la foulée, VoidProxy s’empare des cookies de session. Il s’agit d’un petit fichier temporaire créé par un site web pour reconnaître un utilisateur déjà connecté, sans lui redemander son mot de passe à chaque clic. Avec ce cookie, un pirate peut l’injecter dans son propre navigateur et se faire passer pour la victime, ce qui permet de contourner une partie des mécanismes de sécurité. Toutes les données sont interceptées et mises à disposition dans le panneau d’administration de VoidProxy.
« Les comptes piratés via des plateformes PhaaS servent ensuite de point d’appui à de nombreuses activités malveillantes : arnaques par e-mail professionnel, fraudes financières, vol de données ou encore propagation au sein des réseaux des victimes », résume le rapport d’Okta.
Face aux attaques orchestrées avec VoidProxy, les experts recommandent notamment de réserver l’accès aux applications sensibles uniquement aux appareils sécurisés par l’entreprise, de lier une session à l’adresse IP pour tous les outils d’administration, et de réclamer une nouvelle authentification lorsqu’un administrateur lance une action critique. Ces mesures doivent éviter qu’un pirate muni de vos identifiants soit en mesure de se faire passer pour vous sur le réseau d’une entreprise.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Okta
