Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Le kit de phishing Tycoon 2FA contourne le MFA et cible les comptes Microsoft 365 et Gmail !

Tycoon 2FA, c'est le nom d'une plateforme de Phishing-as-a-Service (Phaas) utilisée par les cybercriminels pour cibler les utilisateurs de Gmail (Google) et de Microsoft 365, tout en outrepassant l'authentification à deux facteurs. Voici ce qu'il faut savoir sur ce kit redoutable !

En octobre 2023, les analyses de Sekoia ont fait la découverte de Tycoon 2FA pour la première fois. Néanmoins, les pirates du groupe Saad Tycoon en font la promotion sur un canal Telegram privé depuis août 2023.

Comme le soulignent les équipes de Sekoia dans un nouveau rapport, ce kit de phishing prêt à l'emploi est en pleine évolution et une nouvelle version a été publiée en 2024 : plus efficace et plus furtive, notamment l'ajout de capacités de détection et de blocage des bots. Actuellement, Tycoon 2FA exploite 1 100 domaines et a été utilisé pour mettre au point des milliers d'attaques de phishing.

Afin de pouvoir contourner l'authentification multifacteur et voler les informations d'identification des utilisateurs, Tycoon 2FA doit intercepter les données de la victime et les transmettre au service légitime. Pour atteindre cet objectif, la plateforme Tycoon 2FA intègre un reverse proxy qui va se positionner entre l'ordinateur de la victime et le service sur lequel elle va se connecter.

Un processus bien rôdé, en 7 étapes

Ainsi, actuellement en mars 2024, une attaque Tycoon 2FA se déroule en 7 étapes distinctes :

  • Étape 0 : les attaquants diffusent des liens malveillants par l'intermédiaire d'une campagne de phishing (e-mails malveillants) ou des QR codes piégés, dans le but d'amener la victime vers la page falsifiée.
  • Étape 1 : lorsqu'un utilisateur clique sur l'URL contenue dans l'e-mail, ou qu'il scanne le QR code, il est redirigé vers une page intégrant un défi Turnstile de Cloudflare afin de filtrer le trafic indésirable.
  • Étape 2 : cette étape n'est pas visible pour l'utilisateur, car elle exécute un code JavaScript en arrière-plan et redirige ensuite l'utilisateur vers une autre page en fonction de la présence d'une adresse électronique.
  • Étape 3 : cette étape est également invisible pour l'utilisateur qui sera redirigé automatiquement vers une autre page contrôlée par les cybercriminels.
  • Étape 4 : l'utilisateur se retrouve face à une fausse page de connexion Microsoft qui est utilisée par les attaquants pour voler les informations d'identification. WebSockets est utilisé pour l'exfiltration des données.
  • Étape 5 : c'est à ce moment-là que, si nécessaire, Tycoon 2FA va utiliser du code JavaScript pour proposer un défi 2FA à l'utilisateur, en relayant et en prenant en charge plusieurs méthodes (Notification sur Microsoft Authenticator, code à usage unique via une application, SMS ou par appel téléphonique). Il interceptera les informations de validation émises par l'utilisateur pour compléter le challenge MFA.
  • Étape 6 : fin du processus, l'utilisateur est redirigé vers une page déterminée par les cybercriminels. Le site de Microsoft, dans certains cas.

Au sujet de l'étape n°5, Sekoia précise : "À l'aide de serveurs proxy commerciaux, les pages d'hameçonnage Tycoon 2FA transmettent les données de l'utilisateur, notamment l'adresse électronique, le mot de passe et le code 2FA, à l'API d'authentification légitime de Microsoft. La réponse au trafic de l'API Microsoft renvoie les pages et les informations appropriées à l'utilisateur." - Ce qui montre l'efficacité de Tycoon 2FA et prouve que c'est un kit prêt à l'emploi très évolué.

Source : Sekoia

Les affiliés de Tycoon 2FA ont accès à un véritable tableau de bord d'administration au sein duquel ils peuvent visualiser les identifiants collectés avec l'identifiant, le mot de passe, l'état du MFA, ainsi que la possibilité d'obtenir des cookies d'authentification prêts à l'emploi.

Un ensemble de domaines malveillants est associé à l'utilisation du kit Tycoon 2FA. Vous pouvez retrouver la liste sur le GitHub de Sekoia, sur cette page.

Tycoon 2FA, une plateforme massivement utilisée par les pirates

Sekoia a pu analyser le portefeuille de cryptomonnaie utilisé par le groupe de cybercriminels à l'origine du kit Tycoon 2FA. Depuis août 2023, il y a eu 700 transactions entrantes d'une valeur moyenne de 366 dollars, soit plus de 256 000 dollars. Les analystes indiquent également que 530 transactions ont dépassé 120 dollars, ce qui correspond au tarif pour accéder à la plateforme PhaaS pendant 10 jours.

"En supposant que le portefeuille est principalement utilisé pour les opérations PhaaS de Tycoon 2FA depuis août 2023, le montant total des transactions suggère que plusieurs centaines de kits Tycoon 2FA ont été vendus 'as a service' sur une période de six mois.", peut-on lire.

Source

The post Le kit de phishing Tycoon 2FA contourne le MFA et cible les comptes Microsoft 365 et Gmail ! first appeared on IT-Connect.

Phishing : plus de 100 organisations en Europe et aux États-Unis impactées par StrelaStealer

Une centaine d'organisations situées aux États-Unis et en Europe ont été victime d'une nouvelle campagne malveillante visant à déployer le malware StrelaStealer ! Voici ce qu'il faut savoir sur cette menace.

L'Unit42 de Palo Alto Networks a publié un rapport au sujet de la menace StrelaStealer, un logiciel malveillant repéré pour la première fois en novembre 2022. Après avoir infecté une machine, son objectif est de voler les informations d'identification des comptes de messagerie dans les applications Outlook et Thunderbird.

Alors qu'à la base ce malware ciblait principalement les utilisateurs hispanophones, il s'avère que les cybercriminels ont fait évoluer leur plan : désormais l'Europe et les États-Unis sont pris pour cible. Pour cela, les pirates n'hésitent pas à traduire en plusieurs langues les fichiers utilisés par ce malware, ce qui le rend polyglotte et lui permet de s'adapter à la cible.

Comme beaucoup d'autres logiciels malveillants, StrelaStealer est distribué par l'intermédiaire de phishing. Depuis la fin du mois de janvier, l'Unit42 a détecté une forte hausse de l'activité avec un important volume d'e-mails malveillants envoyés par jour. L'Unit42 évoque jusqu'à 500 organisations ciblées par jour et il y a eu des victimes : "Récemment, nos chercheurs ont identifié une vague de campagnes StrelaStealer à grande échelle touchant plus de 100 organisations dans l'UE et aux États-Unis.", peut-on lire dans le rapport. Dans la grande majorité des cas, ce sont les organisations du secteur des nouvelles technologies qui ont été les plus visées.

Source : Unit42

La chaine d'infection de StrelaStealer

Les pirates ont fait évoluer la chaine d'infection du malware StrelaStealer. Désormais, l'e-mail malveillant contient une pièce jointe au format ZIP qui a pour objectif de déposer des fichiers JScript sur la machine de la victime. Dans le cas où ces scripts sont exécutés, ils déposent un fichier batch et un fichier encodé en base64, qui donne lieu à une DLL qui sera exécutée via rundll32.exe afin de déployer le payload StrelaStealer.

Le schéma ci-dessous, issu du rapport d'Unit42 permet de comparer l'ancienne et la nouvelle chaine d'infection.

Source : Unit42

Si le logiciel malveillant est déployé, il vole les identifiants mémorisés dans Outlook et Thunderbird et ces informations sont immédiatement envoyées aux attaquants par l'intermédiaire d'un serveur C2.

Une fois de plus, méfiance avec les e-mails...

Source

The post Phishing : plus de 100 organisations en Europe et aux États-Unis impactées par StrelaStealer first appeared on IT-Connect.

JO de Paris 2024 : une campagne de phishing mise en place pour évaluer les gendarmes !

Une campagne de phishing grandeur nature a été volontairement mise en place pour évaluer le niveau de vigilance des 9 000 gendarmes et gendarmes adjoints d’Île-de-France. Résultat : 1 personne sur 10 a cliqué sur le lien "malveillant" présent dans l'e-mail après l'avoir ouvert.

Dans quelques mois, le monde entier aura les yeux rivés sur les Jeux Olympiques de Paris 2024. Pour les cybercriminels, cet événement mondial est une aubaine, et la France doit se préparer pour assurer la sécurité et le bon déroulement de ces Jeux Olympiques. Les services informatiques de la gendarmerie ont pris la décision d'évaluer les gendarmes grâce à une campagne de phishing déployée à des fins de sensibilisation.

Ainsi, ce week-end, en pleine nuit, 9 000 militaires ont reçu un e-mail un peu particulier dans leur boite de réception, mais qui avait tout de la bonne affaire : des billets gratuits pour assister aux compétitions olympiques, dans le but de remercier les forces de l'ordre pour leur engagement ! Bien entendu, pour accéder à cette offre, la personne doit cliquer sur le lien contenu dans l'e-mail ayant pour objet "Dotation exclusive de places pour les épreuves des Jeux olympiques 2024". Dans le cas présent, il s'agit d'un lien malveillant pour essayer de piéger les militaires.

Sur les 9 000 gendarmes, 5 000 ont ouvert l'e-mail en question et 500 d'entre eux ont, en plus, cliqué sur le lien. Autrement dit, 10% des gendarmes qui ont ouvert l'e-mail sont tombés dans le piège "des cybercriminels", soit environ 5% sur le total de 9 000 gendarmes. Ici, fort heureusement, pas de malwares, mais un message d'avertissement : "Phishing, hameçonnage, le lien que vous venez de sélectionner dans le mail était un lien piégé".

Qu'est-ce qui n'allait pas avec cet e-mail ?

Quand nous lisons ça, il est légitime de se poser plusieurs questions : à quoi ressemble l'e-mail ? Quelle est l'adresse e-mail de l'émetteur ? Etc... Bref, quels sont les éléments qui auraient dû alerter les gendarmes pour qu'ils se disent "Ah, il s'agit d'une tentative de phishing".

Dans le cas présent, l'e-mail contenait 2 fautes d'orthographe, et surtout il émanait d'une adresse e-mail basée sur un domaine différent du domaine officiel : "gendarmerieinterieur-gouv.fr", au lieu de "gendarmerie.interieur.gouv.fr" (subtile !). De plus, l'e-mail était signé par un haut gradé dont le grade était incorrect. Il fallait quand même avoir un œil un minimum averti, finalement.

Personnellement, je pense que c'est inutile de critiquer "ce score" et de crier au scandale : même s'il y a une marge de progression, il y a fort à parier que dans la grande majorité des entreprises, une campagne ciblée comme celle-ci, ferait surement beaucoup de dégâts. N'oubliez pas : la sensibilisation des utilisateurs est l'affaire de tous.

Source 1 et Source 2

The post JO de Paris 2024 : une campagne de phishing mise en place pour évaluer les gendarmes ! first appeared on IT-Connect.

Pluie d’arnaques sur WhatsApp : voici comment les repérer pour mieux les contrer [Sponso]

Cet article a été réalisé en collaboration avec Bitdefender

Sur internet, aucun canal n’échappe aux hackers, pas même les messageries instantanées. Heureusement, quelques bonnes pratiques limitent les risques.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Pluie d’arnaques sur WhatsApp : voici comment les repérer pour mieux les contrer [Sponso]

Cet article a été réalisé en collaboration avec Bitdefender

Sur internet, aucun canal n’échappe aux hackers, pas même les messageries instantanées. Heureusement, quelques bonnes pratiques limitent les risques.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Kaspersky rapporte une augmentation de 40 % des attaques de phishing en 2023

Le dispositif anti-phishing de Kaspersky a déjoué plus de 709 millions de tentatives d’accès à des pages de phishing et des sites web frauduleux en 2023, marquant une augmentation de 40 % par rapport aux chiffres de l’année précédente. Les applications de messagerie, les plateformes d’intelligence artificielle, les réseaux sociaux et les échanges de crypto-monnaies figurent […]

The post Kaspersky rapporte une augmentation de 40 % des attaques de phishing en 2023 first appeared on UnderNews.

Authentification Windows : ces pirates volent les hash NTLM avec des e-mails malveillants !

Un groupe de cybercriminels associés au nom TA577 est à l'origine d'une nouvelle campagne de phishing dont l'objectif est de collecter des hash NTLM pour effectuer du détournement de comptes utilisateurs. Faisons le point sur cette menace.

Le groupe TA577 est ce que l'on appelle un "Initial access broker", c'est-à-dire qu'il est spécialisé dans le vol de données permettant l'accès à des infrastructures. Ensuite, ces données sont revendues à d'autres groupes de cybercriminels qui peuvent les utiliser au sein d'attaques. TA577 est connu pour collaborer avec d'autres gangs que vous connaissez probablement : Qbot et le ransomware Black Basta.

Les chercheurs en sécurité de chez ProofPoint ont mis en ligne un nouveau rapport pour évoquer deux campagnes de phishing initiées par TA577, les 26 et 27 février 2024. À cette occasion, le groupe de cybercriminels a envoyé des milliers d'e-mails à des centaines d'organisations dans le monde entier dans le but de voler le hash NTLM des utilisateurs pris pour cible.

Quel est l'intérêt de voler ces hash NTLM ?

Utilisé pour l'authentification Windows, notamment lorsque Kerberos ne peut pas être utilisé, l'authentification NTLM est vulnérable à différentes attaques.

Par exemple, un attaquant peut récupérer le hash NTLM et essayer de le "craquer" en mode hors ligne afin de récupérer le mot de passe du compte utilisateur en clair. Il est également possible de réutiliser tel quel le hash NTLM capturé dans une attaque de type "pass-the-hash".

Comment fonctionne la campagne de phishing de TA577 ?

Tout d'abord, sachez que cette campagne de phishing utilise la technique dite du "thread hijacking", c'est-à-dire que les e-mails semblent être des réponses à une discussion antérieure avec la cible.

Comme souvent, le danger, c'est la pièce jointe. Ici, ProofPoint explique que chaque e-mail est accompagné par une archive ZIP, et que chaque archive ZIP est unique : un destinataire = une archive ZIP. Cette archive ZIP contient un fichier HTML et dans le code source de cette page HTML, nous pouvons voir la balise META "Refresh" qui va permettre d'établir une connexion à un fichier texte situé sur un serveur distant, via le protocole SMB.

Campagne de phising - Vol hash NTLM - Février 2024
Source : ProofPoint

Windows va interpréter ce code HTML et tenter une connexion à la machine distante, de façon automatique. Cette connexion sera effectuée via le protocole NTLMv2, à l'aide du compte utilisateur avec lequel la victime est connectée. Ainsi, l'attaquant peut voler les hash NTLM à partir de son serveur distant où il reçoit les connexions.

Le fait d'utiliser une archive ZIP avec un fichier HTML, va permettre de s'appuyer sur un fichier local présent sur l'hôte. Si le code malveillant était présent directement dans le corps de l'e-mail (dans le code source HTML), ceci ne fonctionnerait pas. "Si l'URI du schéma de fichier était envoyé directement dans le corps du message, l'attaque ne fonctionnerait pas sur les clients de messagerie Outlook patchés depuis juillet 2023.", précise ProofPoint.

Cette campagne de phishing a pour seul objectif de collecter des hash NTLM dans le but de les revendre. Aucun malware n'est déployé sur les machines. Au-delà de chercher à désactiver le protocole NTLM sur Windows, vous pouvez déjà faire une chose : bloquer les flux SMB (ports 445 et 139) en direction d'Internet sur votre firewall.

Source

The post Authentification Windows : ces pirates volent les hash NTLM avec des e-mails malveillants ! first appeared on IT-Connect.

Cette énorme campagne de spams détourne les noms de domaine de grandes entreprises

SubdoMailing, c'est le nom d'une campagne publicitaire malveillante qui est utilisée pour envoyer 5 millions d'e-mails par jour, à partir de 8 000 domaines légitimes et 13 000 sous-domaines. Faisons le point sur cette menace !

Nati Tal et Oleg Zaytsev, chercheurs en sécurité chez Guardio Labs ont mis en ligne un rapport pour évoquer cette campagne malveillante lancée en 2022. Si c'est campagne a été surnommée "SubdoMailing", ce n'est pas un hasard : les cybercriminels détournent des sous-domaines abandonnés et des domaines appartenant à des entreprises populaires pour émettre leurs e-mails malveillants.

Par exemple, les pirates utilisent des noms de domaine de MSN, McAfee, VMware, Unicef, Java.net, Marvel, Pearson, ou encore eBay. Dans le cas de VMware, les cybercriminels ont détourné le sous-domaine "cascade.cloud.vmware.com", tandis que pour MSN, ce serait le sous-domaine "marthastewart.msn.com".

L'avantage de ces domaines, c'est qu'ils semblent légitimes, aussi bien aux yeux du destinataire que des serveurs de messagerie. Ainsi, ils sont susceptibles de passer les filtres anti-spams et les mécanismes d'authentification des e-mails. Autrement dit, les e-mails malveillants parviennent à passer les contrôles SPF, DKIM et DMARC !

Plusieurs techniques utilisées : CNAME, SPF, etc...

Il est intéressant de noter que les cybercriminels analysent les zones DNS des domaines populaires à la recherche d'un enregistrement CNAME faisant correspondre un sous-domaine vers un domaine externe qui serait disponible. Ensuite, les cybercriminels ont eux-mêmes l'acquisition du domaine externe pour l'exploiter au sein de cette campagne malveillante. L'achat est effectué via NameCheap. Comme le montre l'exemple ci-dessous donné par les chercheurs en sécurité, le sous-domaine "marthastewart.msn.com" avait un enregistrement CNAME qui renvoyait vers "msnmarthastewartsweeps.com" mais qui n'appartenait plus à MSN (Microsoft) depuis plus de 20 ans !

Campagne SubdoMailing - Exemple CNAME
Source : Guardio Labs

Une seconde technique est utilisée et elle vise à tirer profit d'enregistrements SPF qui ne sont pas maintenus à jour. Ce qui intéresse les cybercriminels, c'est l'option "include :" puisqu'elle peut pointer vers des domaines externes qui ne sont plus enregistrés. Dans ce cas, c'est une aubaine pour les cybercriminels. Le cas du domaine SPF du domaine "swatch.com" est un parfait exemple puisqu'il fait référence à un domaine disponible à la vente : "directtoaccess.com" ! En achetant ce fameux domaine, les cybercriminels peuvent émettre des e-mails pour "swatch.com" de manière légitime !

Campagne SubdoMailing - Exemple SPF
Source : Guardio Labs

Une campagne de phishing supplémentaire !

Que se passe-t-il si l'on clique sur le lien d'un e-mail ? Les boutons et liens intégrés dans les e-mails redirigent les utilisateurs vers différents sites contrôlés par les cybercriminels. Parfois, il s'agit simplement de sites avec de la publicité, alors que dans d'autres cas, l'utilisateur doit faire face à une alerte de sécurité pouvant mener à un vol d'informations : compte Facebook, compte iCloud, fin d'abonnement Amazon Prime, etc... Différents prétextes sont utilisés.

Résultat, les cybercriminels disposent d'un important réseau de 8 000 domaines et 13 000 sous-domaines exploité par des serveurs SMTP situés dans le monde entier ! Guardio Labs évoque près de 22 000 adresses IP uniques utilisées pour envoyer environ 5 millions d'e-mails par jour. Cette technique est bien rodée et elle se montre très efficace !

Enfin, à partir de l'outil mis en ligne par Guardio Labs, vous pouvez vérifier si votre domaine est affecté ou non :

Source

The post Cette énorme campagne de spams détourne les noms de domaine de grandes entreprises first appeared on IT-Connect.

iPhone : 5 erreurs fréquentes qui exposent vos données aux hackers [Sponso]

Cet article a été réalisé en collaboration avec Bitdefender

Les iPhone sont réputés comme étant les smartphones les plus sûrs du marché, mais qu’en est-il réellement ? Certaines erreurs courantes restent susceptibles de mettre en danger vos données personnelles.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

❌