La compromission du courrier électronique professionnel (BEC) est une escroquerie énorme et rentable, mais Microsoft a mis un frein à une opération en mettant hors service son infrastructure de cloud computing.
Pour contrer les escrocs, Microsoft a fait appel à son unité du crime digital (Digital Crimes Unit) pour s’attaquer à l’infrastructure qu’ils utilisent.
A l’instar d’autres entreprises, les cyberattaquants usant de BEC se tournent vers le cloud pour mener leurs opérations. Mais Microsoft affirme que ses enquêteurs ont perturbé un grand groupe qui utilisait les principaux fournisseurs de cloud.
Le cybercrime le plus coûteux pour les entreprises américaines
Alors que les ransomwares font les gros titres, les attaques par BEC restent le problème de cybercriminalité le plus coûteux pour les entreprises américaines. Le FBI a récemment indiqué que les Américains avaient perdu plus de 4,2 milliards de dollars aux mains de cybercriminels et « scammers » en 2020. Le BEC était de loin la principale cause des pertes signalées, totalisant 1,8 milliard de dollars à travers 19 369 plaintes.
Dans ce cas, les attaquants utilisaient une infrastructure basée sur le cloud pour compromettre des comptes de messagerie par le biais du phishing, puis ajoutaient des règles de transfert d’e-mails à ces comptes, donnant aux attaquants l’accès aux e-mails concernant des transactions financières.
Les attaquants ont également utilisé plusieurs techniques pour contrecarrer les efforts des enquêteurs visant à découvrir leurs activités et leur infrastructure.
Difficile de relier les différentes activités des attaquants
« L’utilisation d’une infrastructure hébergée dans plusieurs services web a permis aux attaquants d’opérer de manière furtive, ce qui est caractéristique des campagnes BEC. Les attaquants ont réalisé des activités discrètes pour différentes IP et sur différentes périodes, rendant la tâche plus difficile pour les chercheurs, qui devait corréler des activités apparemment disparates dans une seule opération », expliquent les chercheurs en sécurité de Microsoft.
D’après le géant américain, les attaques BEC sont difficiles à détecter car elles n’apparaissent généralement pas dans la liste d’alerte d’un défenseur et se fondent dans le trafic réseau légitime. Il met en avant sa capacité à détecter ce type de campagnes en raison de sa gigantesque activité de cloud, à travers Azure et Microsoft 365, qui lui donne une visibilité sur le trafic de messagerie, les identités, les points d’extrémité et le cloud.
« Armés de renseignements sur les courriels de phishing, les comportements malveillants sur les points d’extrémité, les activités dans le cloud et les identités compromises, les chercheurs de Microsoft ont relié les points, obtenu une vue de la chaîne d’attaque de bout en bout et retracé les activités jusqu’à l’infrastructure », explique l’entreprise.
Cette dernière a établi une corrélation entre la campagne BEC ciblée et une attaque de phishing antérieure, qui donnait aux attaquants des informations d’identification et un accès aux boîtes e-mail Office 365 des victimes. Microsoft rappelle que l’activation de l’authentification multifactorielle peut prévenir ces attaques de phishing.
Transfert automatisé
Ses chercheurs ont constaté qu’avant que les attaquants ne créent des règles de transfert d’e-mails, les comptes de messagerie recevaient un e-mail de phishing avec un leurre de message vocal et une pièce jointe HTML. Les e-mails provenaient d’une adresse liée à un fournisseur de cloud computing externe.
La campagne de phishing trompait les utilisateurs en créant une page de connexion Microsoft fausse mais d’apparence réaliste, avec le nom d’utilisateur déjà renseigné, et utilisait un script JavaScript pour capturer et transférer les mots de passe volés.
Les règles de transfert étaient assez simples. En gros, si le corps de l’e-mail contenait les mots « facture », « paiement » ou « relevé », les comptes compromis étaient configurés pour transférer les e-mails à l’adresse e-mail de l’attaquant.
Des infrastructures différentes mais des éléments communs
Bien que les attaquants aient utilisé des infrastructures cloud différentes pour dissimuler leurs activités, Microsoft a trouvé des éléments communs dans les agents utilisateurs, comme le fait que les règles de transfert ont été créées avec Chrome 79 et qu’il y avait une règle pour ne pas déclencher une notification MFA lors de la connexion à un compte Microsoft.
« Les vérifications d’identité avec l’agent utilisateur « BAV2ROPC », qui est probablement une base de code utilisant des protocoles hérités comme IMAP/POP3, contre Exchange Online. Il en résulte un flux ROPC OAuth, qui renvoie un « invalid_grant » dans le cas où l’authentification multifactorielle est activée, de sorte qu’aucune notification n’est envoyée », note Microsoft.
Comme ses recherches ont révélé que les attaquants abusaient des fournisseurs de services cloud pour diffuser cette campagne, Microsoft a signalé ses conclusions aux équipes de sécurité de ces fournisseurs, qui ont suspendu les comptes incriminés, entraînant le démantèlement de l’infrastructure.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "http://connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));