Depuis le début du mois de mars, les chercheurs Proofpoint surveillent une campagne hybride en cours, utilisant EvilProxy – un kit de phishing basé sur Reverse Proxy, qui permet aux attaquants de voler les informations d’identification multifactorielle (MFA) et les cookies de session des victimes – et cible des milliers de comptes utilisateurs Microsoft 365.

« Comme le montre notre étude, les acteurs de la menace ciblent souvent des fonctions ou des départements spécifiques, et leurs méthodes et techniques doivent constamment évoluer, par exemple en trouvant des moyens de contourner l’authentification multifactorielle. Contrairement à la croyance populaire, même l’authentification multifactorielle n’est pas une solution miracle contre les menaces sophistiquées basées sur le cloud. Une fois à l’intérieur, les acteurs malveillants peuvent se cacher sans être détectés dans l’environnement d’une organisation et mener des attaques sophistiquées à volonté », expliquent les chercheurs Proofpoint.

La campagne d’attaque combine une technique de hameçonnage élaborée, de type Adversary-in-the-Middle (AitM), avec des méthodes avancées de prise de contrôle de comptes (figure ci-dessous) :

L’ampleur de la campagne est impressionnante. Environ 120 000 tentatives de hameçonnage ont été envoyées à des centaines d’organisations dans le monde entier entre mars et juin 2023 déployant plusieurs techniques d’attaques distinctes :

Usurpation de l’identité d’une marque : l’expéditeur du courrier électronique se fait passer pour une marque de services ou une application de confiance, telle que Concur Solutions, DocuSign ou Adobe.
Blocage de l’analyse : les cybercriminels utilisent une protection contre les programmes d’analyse de cybersécurité, rendant plus difficile l’analyse de leurs pages web malveillantes par les solutions de sécurité.
Chaîne d’infection en plusieurs étapes : les cybercriminels redirigent le trafic via des redirecteurs légitimes ouverts, notamment YouTube, suivis d’étapes supplémentaires (cookies malveillants et redirections vers des pages affichant le message erreur 404).

Dans le paysage de la menace, l’utilisation du phishing-as-a-service (PhaaS) s’est considérablement accrue, permettant aux cybercriminels, même novices, de payer simplement des kits préconfigurés et d’accéder à des informations d’identification pour toute une série de services en ligne (tels que Gmail, Microsoft, Dropbox, Facebook, Twitter, etc.). Bien que la notoriété d’EvilProxy comme outil d’hameçonnage ne soit plus à faire, les analystes Proofpoint déplorent le manque de sensibilisation du public à ses risques et à ses conséquences potentielles.

En effet, selon les recherches de Proofpoint, la liste des victimes ciblées comprend de nombreux utilisateurs haut placés dans l’entreprise, et ce en raison de leur accès aux données sensibles et informations financières de l’entreprise. Parmi les centaines d’utilisateurs compromis, environ 39 % étaient des cadres supérieurs, dont 17 % étaient des directeurs financiers et 9 % des présidents et directeurs généraux.

« Les informations d’identification des employés sont très prisées par les cybercriminels, car elles peuvent donner accès à des informations d’entreprise et à des comptes d’utilisateurs précieux ou sensibles.  Si les informations d’identification volées offrent une multitude de vecteurs d’attaque aux cybercriminels, toutes les informations d’identification ne se valent pas », ont déclaré les chercheurs Proofpoint.