mardi, 27 février 2024

Une campagne de phishing sophistiquée détourne les comptes Microsoft Azure

Selon les chercheurs en sécurité de Proofpoint, de nombreux comptes Microsoft Azure au sein des entreprises ont récemment été attaqués par un projet de phishing sophistiqué. Le projet se concentre principalement sur le vol d’informations délicates et financières. De plus, les pirates veulent compromettre les boîtes aux lettres. On ne sait pas quels pirates sont à l’origine de ces attaques.

Tous les membres du personnel de l’entreprise disposant d’un compte Microsoft Azure sont ciblés. Les victimes les plus ciblées occupent les rôles de directeur commercial, de chargé de compte et de superviseur financier. Les cadres dirigeants sont également fortement ciblés. En ciblant tous les niveaux, les pirates souhaitent obtenir le plus grand accès possible aux comptes Azure de l’entreprise.

Plan d’attaque et cryptage MFA

La campagne de phishing commence par l’envoi d’e-mails. -mails aux titulaires de comptes. Le phishing individuel est ainsi intégré aux fichiers partagés. Ces fichiers partagés contiennent des liens qui redirigent les utilisateurs vers une page Web de phishing. Les pirates informatiques acquièrent des qualifications de connexion via cette page et, grâce à ces informations, ils peuvent les transmettre pour pirater des comptes.

Une fois que les pirates ont effectivement pris le contrôle d’un compte, ils sécurisent cet accès avec de nombreux types d’authentification multifactorielle ( MAE). Cela rend plus complexe la récupération des comptes concernés avec de nouveaux mots de passe ou l’examen des connexions actuelles.

Les approches MFA utilisées incluent des mots de passe de courte durée via e-mail ou numéro de contact. Ils utilisent normalement une application d’authentification.

Difficile à capturer

De plus, les scientifiques ont découvert que les violations provenaient de nombreux proxys. Ces proxys sont une sorte d’intermédiaire entre les installations utilisées par les pirates informatiques et les comptes agressés.

Les proxys aident à aligner l’emplacement géographique de l’adresse IP de connexion avec la région dans laquelle se trouvent les victimes. Cela permet de contourner les contraintes géographiques. Les proxys changent également régulièrement, ce qui rend plus difficile la lutte contre les attaques et le blocage des adresses IP nuisibles.

Liste des indicateurs

Les utilisateurs d’Azure peuvent vérifier s’ils sont une cible. Le meilleur signe, selon les chercheurs, est un agent utilisateur Linux dédié, tel que Mozilla/5.0 (X11 ; Linux x86_64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/120.0.0.0 Safari/537.36.

Proofpoint a en outre publié une liste d’autres indications possibles. Les spécialistes de la sécurité souhaitent que les utilisateurs gardent un œil attentif sur ces indications.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici