EvilProxy Phishing Campaign Targets Microsoft 365 Users, Focuses on C-Level Executives

Une campagne de phishing vise les cadres dirigeants. Cette menace sophistiquée existe depuis un certain temps et elle est de retour pour faire de nouvelles victimes. Découvrez comment elle fonctionne. Voir aussi: Ziggo Group nomme ses dirigeants avant l'introduction en Bourse à Amsterdam en 2027.

Campagne de phishing EvilProxy: les utilisateurs de Microsoft 365 et les cadres dirigeants ciblés Voir aussi: Alejandro Estua.

La plateforme de phishing EvilProxy est apparue comme une menace puissante, ciblant avec succès les comptes protégés par MFA et suscitant l'inquiétude des experts en cybersécurité. Plus de 120 000 e-mails de phishing ont été envoyés à plus d'une centaine d'organisations, dans le but de compromettre les comptes Microsoft 365. Voir aussi: Alejandro Manzo.

Les cadres dirigeants ciblés Voir aussi: Alejandro Hernandez.

Cette tendance croissante de prises de contrôle réussies de comptes cloud a particulièrement touché les cadres supérieurs. La campagne d'EvilProxy implique une combinaison d'usurpation de marque, de tactiques d'évasion contre la détection de bots et l'utilisation de redirections ouvertes. Voir aussi: Alejandro Garza.

EvilProxy utilise un modèle de phishing-as-a-service, en utilisant des proxys inverses pour manipuler les requêtes d'authentification et les identifiants des utilisateurs. Le serveur malveillant intercepte le formulaire de connexion légitime, permettant le vol des cookies d'authentification lors de la connexion de l'utilisateur. De plus, comme les utilisateurs ont déjà surmonté les défis MFA lors de la connexion, le cookie volé permet aux pirates de contourner l'authentification multifacteur. Voir aussi: Alejandro Guerrero.

Un problème de longue date Voir aussi: Alec Gramont.

Les capacités d'EvilProxy ont été mises en évidence dans un rapport de Resecurity de septembre 2022, qui révélait sa disponibilité pour 400 $ par mois aux cybercriminels, promettant l'accès à une gamme de comptes importants, notamment ceux d'Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy et PyPI. Voir aussi: La chipflation de l'IA met sous pression les fabricants d'appareils au-delà des centres de données.

EvilProxy a été exploité pour envoyer des e-mails imitant des marques bien connues telles qu'Adobe, DocuSign et Concur. Une fois que les victimes interagissent avec les liens intégrés, elles parcourent un chemin convoluté de redirections ouvertes via des plateformes comme YouTube ou SlickDeals. Le chemin est conçu pour minimiser les chances de détection.

Finalement, les victimes atterrissent sur une page de phishing exploitée par EvilProxy. Cette page imite astucieusement l'interface de connexion de Microsoft 365, intégrant souvent le thème de l'organisation de la victime pour donner une impression d'authenticité.

Pour échapper aux outils de balayage automatique, les attaquants encodent les adresses e-mail des utilisateurs et exploitent des sites web légitimes compromis pour décoder les adresses e-mail.

Il est intéressant de noter que la campagne a montré un penchant pour le ciblage d'adresses IP turques, laissant entrevoir une base d'opérations potentielle en Turquie. De plus, les attaquants ont fait preuve de sélectivité dans le choix des cibles pour la phase de prise de contrôle de compte, en donnant la priorité aux personnalités « VIP » tout en ignorant les individus de niveau inférieur. Parmi les comptes compromis, 39 % appartenaient à des cadres dirigeants, 9 % à des PDG et vice-présidents, et 17 % à des directeurs financiers.

Une sécurité basée sur le matériel pourrait être nécessaire

Une fois qu'un compte Microsoft 365 est infiltré, les acteurs de la menace introduisent leur propre méthode d'authentification multifacteur pour assurer la persistance. La montée en puissance des kits de phishing par proxy inverse, dont EvilProxy est un parfait exemple, représente un défi croissant. Ces menaces sont capables de mener des campagnes de phishing à grande échelle et de haute qualité qui compromettent les protocoles de sécurité.

Les contre-mesures contre EvilProxy englobent une sensibilisation accrue à la sécurité, des règles de filtrage des e-mails strictes et l'adoption de clés physiques basées sur FIDO.

Pour renforcer davantage les comptes, l'adoption de clés de sécurité matérielles est une stratégie recommandée. Cette approche, récemment adoptée par Discord, souligne l'importance de mécanismes de défense robustes contre les tactiques de phishing en évolution.Campagne de phishing EvilProxy: les utilisateurs de Microsoft 365 et les cadres dirigeants ciblés