Une nouvelle campagne de phishing souligne la nécessité de l’authentification multifacteur, selon Microsoft

Une campagne de phishing à grande échelle en plusieurs étapes récemment découverte et observée pour la première fois dans la région APAC utilise une nouvelle technique qui ne réussit que contre les organisations qui n’ont pas d’authentification multifacteur (MFA) en place, selon l’équipe de sécurité de Microsoft.

Dans une divulgation récemment publiée, Microsoft a révélé comment la campagne ciblait les victimes en Australie, en Indonésie, à Singapour et en Thaïlande, d’abord par la pratique assez courante de voler des informations d’identification – dans ce cas via un faux hameçonnage DocuSign qui les dirigeait vers une connexion Office 365 usurpée.

Dans un deuxième temps, les attaquants à l’origine de la campagne ont exploité la prévalence actuelle des stratégies d’utilisation de votre propre appareil en utilisant les informations d’identification volées pour enregistrer leurs propres appareils sur le réseau cible, qu’ils ont ensuite utilisées pour étendre leur présence sur le réseau et propager davantage l’attaque.

Étant donné que l’authentification multifacteur, lorsqu’elle est correctement déployée, empêche les attaquants d’utiliser des informations d’identification volées pour accéder aux appareils ou aux réseaux, ceux qui l’utilisaient ont pu déjouer la campagne, mais pour ceux qui ne l’ont pas fait, l’attaque a progressé.

« Cette campagne montre que l’amélioration continue de la visibilité et des protections sur les appareils gérés a forcé les attaquants à explorer d’autres avenues », a écrit l’équipe Microsoft 365 Defender Threat Intelligence. « La surface d’attaque potentielle est encore élargie par l’augmentation du nombre d’employés qui travaillent à domicile, ce qui déplace les frontières entre les réseaux d’entreprise internes et externes.

« Les attaquants déploient diverses tactiques pour cibler les problèmes organisationnels inhérents au travail hybride, aux erreurs humaines et au shadow IT ou aux applications, services, appareils et autres infrastructures non gérés fonctionnant en dehors des politiques standard », ont-ils écrit.

« Ces appareils non gérés sont souvent ignorés ou manqués par les équipes de sécurité au moment de la jonction, ce qui en fait des cibles lucratives pour les compromis, les mouvements latéraux silencieux, le dépassement des limites du réseau et la persistance pour lancer des attaques plus larges. Ce qui est encore plus inquiétant, comme nos chercheurs l’ont découvert dans ce cas, c’est lorsque des attaquants parviennent à connecter avec succès un appareil qu’ils exploitent pleinement et qu’ils contrôlent complètement.

Jason Soroko, directeur de la technologie de l’infrastructure à clé publique chez Sectigo, spécialiste de la gestion des certificats, a déclaré: « Les criminels deviennent de plus en plus intelligents et peuvent toujours obtenir des résultats à partir de vecteurs d’attaque plus anciens et éprouvés. En cas d’attaque de phishing, il ne suffit plus de faire attention aux e-mails grossièrement formulés – les destinataires doivent également tenir compte du contexte, du contenu et de l’expéditeur, en particulier s’il s’agit de transactions financières. Il existe toutes sortes de logiciels malveillants qui peuvent pénétrer dans votre système par le biais de téléchargements ou de piratage direct.

« L’essentiel est que les noms d’utilisateur et les mots de passe ne sont pas une méthode sûre d’authentification, qu’ils soient utilisés pour les terminaux PoS ou les comptes de médias sociaux », a-t-il déclaré.

« Malheureusement, le recours au modèle de mot de passe est encore beaucoup trop courant. Cette dernière vulnérabilité souligne à quel point le modèle est défectueux, car un appareil non sécurisé protégé par un mot de passe par défaut peut être un point d’entrée pour une attaque plus large sur le réseau.