EvilProxy Phishing Campaign Targets Microsoft 365 Users, Focuses on C-Level Executives est profilé par BTW Media car les preuves publiées le lient à l'infrastructure internet, à la gouvernance, aux dépendances opérationnelles ou à la visibilité sur le marché.
EvilProxy Phishing Campaign Targets Microsoft 365 Users, Focuses on C-Level Executives est suivi en tant qu'institution de l'infrastructure internet au sein de l'écosystème de l'infrastructure internet.
EvilProxy Phishing Campaign Targets Microsoft 365 Users, Focuses on C-Level Executives présente une pertinence de source publique pour les opérations réseau, la gouvernance, la cartographie des dépendances ou la structure du marché.
EvilProxy Phishing Campaign Targets Microsoft 365 Users, Focuses on C-Level Executives est suivi en tant qu'institution de l'infrastructure internet au sein de l'écosystème de l'infrastructure internet.
Marché cadre les preuves de ce dossier.
Campagne de phishing visant les cadres dirigeants. Cette menace sophistiquée existe depuis un certain temps et elle revient pour faire davantage de victimes. Découvrez comment elle fonctionne.
Campagne de phishing EvilProxy cible les utilisateurs de Microsoft 365 et se concentre sur les cadres dirigeants porte un impact Moyen dans ce dossier.
Plusieurs sources publiques
Campagne de phishing visant les cadres dirigeants. Cette menace sophistiquée existe depuis un certain temps et elle revient pour faire davantage de victimes. Découvrez comment elle fonctionne.
Campagne de phishing EvilProxy cible les utilisateurs de Microsoft 365 et se concentre sur les cadres dirigeants
La plateforme de phishing EvilProxy est devenue une menace puissante, ciblant avec succès les comptes protégés par MFA et suscitant l'inquiétude des experts en cybersécurité. Plus de 120 000 e-mails de phishing ont été envoyés à plus d'une centaine d'organisations, dans le but de compromettre les comptes Microsoft 365.
Les cadres dirigeants ciblés
Cette tendance à la hausse des prises de contrôle réussies de comptes cloud a particulièrement touché les cadres supérieurs. La campagne d'EvilProxy combine l'usurpation de marque, des tactiques d'évasion contre la détection de bots et l'utilisation de redirections ouvertes.
EvilProxy utilise un modèle de phishing en tant que service (PHaaS), en se servant de proxys inverses pour manipuler les demandes d'authentification et les identifiants des utilisateurs. Le serveur malveillant intercepte le formulaire de connexion légitime, permettant le vol des cookies d'authentification lors de la connexion de l'utilisateur. De plus, comme les utilisateurs ont déjà relevé les défis MFA lors de la connexion, le cookie volé permet aux pirates de contourner l'authentification multifacteur.
Un problème de longue date
Les capacités d'EvilProxy ont été mises en évidence dans un rapport de Resecurity de septembre 2022, qui révélait sa disponibilité pour 400 $/mois aux cybercriminels, promettant l'accès à une gamme de comptes importants, notamment ceux d'Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy et PyPI.
EvilProxy a été exploité pour envoyer des e-mails imitant des marques bien connues telles qu'Adobe, DocuSign et Concur. Une fois que les victimes interagissent avec les liens intégrés, elles parcourent un chemin alambiqué de redirections ouvertes via des plateformes comme YouTube ou SlickDeals. Ce chemin est conçu pour minimiser les chances de détection.
Finalement, les victimes atterrissent sur une page de phishing opérée par EvilProxy. Cette page reproduit habilement l'interface de connexion Microsoft 365, intégrant souvent le thème de l'organisation de la victime pour donner une apparence d'authenticité.
Pour échapper aux outils de balayage automatique, les attaquants encodent les adresses e-mail des utilisateurs et exploitent des sites web légitimes compromis pour décoder les adresses e-mail.
Il est intéressant de noter que la campagne a montré une préférence pour le ciblage des adresses IP turques, ce qui laisse entrevoir une éventuelle base d'opérations en Turquie. De plus, les attaquants ont fait preuve de sélectivité dans le choix des cibles pour la phase de prise de contrôle des comptes, en privilégiant les personnalités « VIP » tout en ignorant les personnes de niveau inférieur. Parmi les comptes compromis, 39 % appartenaient à des cadres dirigeants, 9 % à des PDG et vice-présidents, et 17 % à des directeurs financiers.
Une sécurité basée sur le matériel pourrait être nécessaire
Une fois un compte Microsoft 365 infiltré, les acteurs malveillants introduisent leur propre méthode d'authentification multifacteur pour assurer leur persistance. La montée en puissance des kits de phishing par proxys inverses, dont EvilProxy est un exemple phare, représente un défi croissant. Ces menaces sont capables d'exécuter des campagnes de phishing à grande échelle et de haute qualité qui compromettent les protocoles de sécurité.
Les contre-mesures contre EvilProxy incluent une sensibilisation accrue à la sécurité, des règles de filtrage strictes des e-mails et l'adoption de clés physiques basées sur FIDO.
Pour renforcer davantage les comptes, l'adoption de clés de sécurité matérielles est une stratégie recommandée. Cette approche, récemment adoptée par Discord, souligne l'importance de mécanismes de défense robustes contre les tactiques de phishing en constante évolution.Campagne de phishing EvilProxy cible les utilisateurs de Microsoft 365 et se concentre sur les cadres dirigeants
Brief signal
- Signal: Campagne de phishing EvilProxy cible les utilisateurs de Microsoft 365 et se concentre sur les cadres dirigeants
- Type de signal: Sujet associé
- Région: Sujet associé
- Classe de marché: Tendances services cloud mondiales
Surface opérationnelle
- Les sources publiées doivent identifier les parties touchées, la surface opérationnelle et l'exposition de marché avant que cette carte de tendance soit considérée comme complète.
Contexte de marché
- Pertinence opérationnelle: Moyen
- Horizon: Prochain trimestre
À surveiller
- Surveiller les déclarations officielles, les évolutions réglementaires, l'exposition clients ou partenaires et les publications de suivi.
Briefing membre
Contexte de tendance approfondi
Connectez-vous avec le bon niveau d'adhésion pour débloquer le briefing complet et les notes de source.
Réservé au Cercle stratégique
Cercle stratégique
Ouvert à tous les lecteurs. Débloquez les briefings de tendance après adhésion et connexion.
Rejoindre le Cercle stratégiqueRéservé à l'Alliance de leadership
Alliance de leadership
Pour les opérateurs, investisseurs et équipes politiques qui ont besoin de preuves relationnelles, de scénarios d'échec et de notes de source. Connectez-vous pour débloquer.
Rejoindre l'Alliance de leadership