un groupe de pirates a trouv le moyen de contourner les protections de l’authentification multifacteurs sur Gmail, pour accder aux courriels sans compromettre les identifiants

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Parmi les meilleures pratiques pour la protection de la scurit des comptes en gnral (et de Gmail en particulier), le renforcement de vos identifiants de connexion et l’activation de la vrification en deux tapes figurent en tte de liste. Pourtant, des chercheurs en scurit ont trouv des preuves qu’un groupe d’attaquants, probablement parrain par un tat, aurait trouv un moyen de contourner ces protections sans compromettre les identifiants de connexion.

Selon la socit de cyberscurit Volexity, son quipe de recherche sur les menaces a dcouvert que le groupe nord-coren SharpTongue, qui semble faire partie du groupe de menaces persistantes avances Kimsuky ou y tre li, dploie un logiciel malveillant appel SHARPEXT qui n’a pas besoin des identifiants de connexion votre compte Gmail.

Au lieu de cela, il inspecte et exfiltre directement les donnes d’un compte Gmail lorsque la victime le parcourt. Cette menace en volution rapide, qui est dj en version 3.0 selon le versioning interne du malware consult par Volexity, peut voler les e-mails des comptes de messagerie Web Gmail et AOL, et fonctionne sur trois navigateurs : Google Chrome, Microsoft Edge et un client sud-coren appel Whale.


Noms de processus pris en charge dans la version 3.0 de SHARPEXT indiquant les navigateurs pris en charge pour le dploiement d’extensions

Les deux premiers navigateurs sont couramment utiliss dans le monde, mais le troisime navigateur, « Whale », est moins connu. Whale est dvelopp par Naver, une socit situe en Core du Sud ; il est utilis presque exclusivement par des personnes de Core du Sud. Les trois navigateurs sont bass sur le moteur Chromium, donc cette prise en charge supplmentaire n’a probablement pas ncessit de dveloppement supplmentaire substantiel de la part de l’attaquant.

Citation Envoy par Volexity

Volexity suit une varit d’acteurs malveillants pour fournir des informations uniques et des informations exploitables ses clients Threat Intelligence. L’un d’eux frquemment rencontr, qui aboutit souvent des enqutes numriques sur des systmes compromis, est suivi par Volexity sous le nom de SharpTongue. On pense que cet acteur est d’origine nord-corenne et est souvent dsign publiquement sous le nom de Kimsuky. La dfinition du rayon de l’activit malveillante de Kimsuky est un sujet de dbat parmi les analystes du renseignement sur les menaces. Certaines publications font rfrence l’activit malveillante nord-corenne sous le nom de Kimsuky que Volexity suit sous d’autres noms de groupe et ne renvoie pas SharpTongue. Volexity observe frquemment que SharpTongue cible et victimise des personnes travaillant pour des organisations aux tats-Unis, en Europe et en Core du Sud qui travaillent sur des sujets impliquant la Core du Nord, les questions nuclaires, les systmes d’armes et d’autres questions d’intrt stratgique pour la Core du Nord.

L’ensemble d’outils de SharpTongue est bien document dans les sources publiques ; le dernier article en anglais couvrant cet ensemble d’outils a t publi par Huntress en 2021. La liste des outils et techniques dcrits dans cet article est cohrente avec ce que Volexity a couramment vu depuis des annes. Cependant, en septembre 2021, Volexity a commenc observer une famille de logiciels malveillants intressante et non documente utilise par SharpTongue. Au cours de la dernire anne, Volexity a rpondu de multiples incidents impliquant SharpTongue et, dans la plupart des cas, a dcouvert une extension malveillante de Google Chrome ou Microsoft Edge que Volexity appelle « SHARPEXT ».

SHARPEXT diffre des extensions prcdemment documentes utilises par l’acteur « Kimsuky », en ce qu’il n’essaie pas de voler les noms d’utilisateur et les mots de passe. Au lieu de cela, le logiciel malveillant inspecte et exfiltre directement les donnes du compte de messagerie Web d’une victime lorsqu’elle le parcourt. Depuis sa dcouverte, l’extension a volu et en est actuellement la version 3.0, base sur le systme de versioning interne. Il prend en charge trois navigateurs Web et le vol de courrier partir de la messagerie Web Gmail et AOL.

L’extension malveillante peut effectuer les requtes suivantes :

Donnes HTTP POST Description
mode=list Rpertorie les e-mails prcdemment collects auprs de la victime pour s’assurer que les doublons ne sont pas tlchargs. Cette liste est continuellement mise jour au fur et mesure de l’excution de SHARPEXT.
mode=domain Liste les domaines de messagerie avec lesquels la victime a dj communiqu. Cette liste est continuellement mise jour au fur et mesure de l’excution de SHARPEXT.
mode=black Collecte une liste noire des expditeurs d’e-mails qui doivent tre ignors lors de la collecte des e-mails de la victime.
mode=newD&d=[data] Ajoute un domaine la liste de tous les domaines consults par la victime.
mode=attach&name=[data]&idx=[data]&body=[data] Tlcharge une nouvelle pice jointe sur le serveur distant.
mode=new&mid=[data]&mbody=[data] Tlcharge les donnes Gmail sur le serveur distant.
mode=attlist Comment par l’attaquant ; reoit une liste de pices jointes exfiltrer.
mode=new_aol&mid=[data]&mbody=[data] Tlcharge les donnes AOL sur le serveur distant.

Selon la CISA, les pirates de Kimsuky sont probablement mandats par le rgime nord-coren

L’Agence amricaine de cyberscurit et de scurit des infrastructures, CISA (pour Cybersecurity & Infrastructure Security Agency), rapporte que Kimsuky opre depuis 2012 et est trs probablement charg par le rgime nord-coren d’une mission mondiale de collecte de renseignements .

Alors que CISA voit Kimsuky cibler le plus souvent des individus et des organisations en Core du Sud, au Japon et aux tats-Unis, Volexity affirme que le groupe SharpTongue a souvent t vu ciblant la Core du Sud, les tats-Unis et l’Europe. Le dnominateur commun entre eux est que les victimes travaillent souvent sur des sujets impliquant la Core du Nord, les questions nuclaires, les systmes d’armes et d’autres questions d’intrt stratgique pour la Core du Nord .

En quoi la menace SHARPEXT de Gmail est-elle diffrente ?

Le rapport indique que SHARPEXT diffre des extensions de navigateur prcdentes dployes par ces groupes de piratage et d’espionnage en ce sens qu’il n’essaie pas de rcuprer les identifiants de connexion, mais en contourne le besoin et peut rcuprer les donnes de courrier lectronique au fur et mesure que l’utilisateur les lit.

La bonne nouvelle est que votre systme doit tre compromis par certains moyens avant que cette extension malveillante puisse tre dploye. Malheureusement, nous savons trs bien que la compromission du systme n’est pas aussi difficile qu’elle devrait l’tre.

Une fois qu’un systme a t compromis par du phishing, des logiciels malveillants, des vulnrabilits non corriges, etc., les pirates peuvent installer l’extension l’aide d’un script VBS malveillant qui remplace les fichiers de prfrences du systme. Une fois que cela est fait et que l’extension s’excute silencieusement en arrire-plan, elle est difficile dtecter. L’utilisateur se connecte son compte Gmail partir de son navigateur normal sur le systme attendu.

Notons qu’aprs la publication du billet de Volexity, Steven Adair, prsident de Volexity, a confirm que le groupe SharpTongue/Kimsuky utilise, comme cela a toujours t le cas, des tactiques de spear phishing et d’ingnierie sociale qui consistent envoyer un document malveillant pour lancer les attaques SHARPEXT contre les utilisateurs de Gmail.

Selon les rsultats de leur recherche, l’extension est installe par le biais de spear phishing et d’ingnierie sociale o la victime est amene ouvrir un document malveillant. Auparavant, nous avons vu des acteurs de la menace de la Rpublique populaire dmocratique de Core lancer des attaques de spear phishing o l’objectif tait d’amener la victime installer une extension de navigateur vs, il s’agit d’un mcanisme de post-exploitation pour la persistance et le vol de donnes . Dans son incarnation actuelle, le malware ne fonctionne que sur Windows, mais Adair a dclar qu’il n’y avait aucune raison pour qu’il ne puisse pas tre tendu pour infecter galement les navigateurs fonctionnant sous macOS ou Linux.

Dans son billet de blog, Volexity indique : La propre visibilit de Volexity montre que l’extension a t assez russie, car les journaux obtenus par Volexity montrent que l’attaquant a russi voler des milliers d’e-mails plusieurs victimes grce au dploiement du malware.

Des comptes d’autres messagerie galement cibls

Il y a galement confirmation que, jusqu’ prsent du moins, seuls les utilisateurs de Windows semblent tre cibls. Les inquitudes des utilisateurs de Microsoft ne s’arrtent pas l, cependant, comme l’ont rvl de nouveaux rapports, comme la campagne SHARPEXT, l’authentification multifacteur est galement contourne par d’autres acteurs malveillant ciblant les comptes de messagerie.

La campagne grande chelle , repre par les chercheurs du Zscaler ThreatLabz, ne cible cependant pas les utilisateurs de Gmail. Au lieu de cela, ce sont les services de messagerie de Microsoft, en particulier ceux des entreprises, qui sont dans le collimateur. Selon un rapport, le but ultime est la compromission de ces comptes de messagerie d’entreprise pour aider dvier les paiements vers des comptes bancaires sous leur contrle l’aide de documents falsifis .

Le fait que cette menace puisse contourner les protections de compte d’authentification multi-facteurs la distingue immdiatement de la campagne de phishing moyenne : elle utilise une technique d’attaque de type adversary-in-the-middle (AiTM) capable de contourner l’authentification multifacteur , note la recherche de Zscaler, il existe plusieurs techniques d’vasion utilises diffrentes tapes de l’attaque conues pour contourner la scurit conventionnelle des e-mails et solutions de scurit rseau .

Bien que toute forme de vrification supplmentaire de vos identifiants de connexion reste un lment de scurit indispensable, cela ne signifie pas que vous devez vous reposer sur vos lauriers si vous avez activ 2FA/MFA. La partie AiTM de l’attaque utilise un proxy entre la victime et les serveurs Microsoft. La demande MFA est relaye par le serveur proxy la victime qui saisit son code mais sur l’appareil de l’attaquant, et celle-ci est ensuite transmise. En volant les cookies d’authentification , les attaquants ont leur mthode pour chapper la MFA pour revenir dans le compte. L o les choses ne diffrent pas de la plupart des attaques de phishing, c’est dans la phase comment tout commence : un e-mail est envoy la cible qui contient un lien malveillant.

Le mois dernier seulement, le Microsoft Threat Intelligence Center (MSTIC) et l’quipe de recherche Microsoft 365 Defender ont confirm qu’ils avaient repr des campagnes de phishing utilisant la technique AiTM afin d’ignorer le processus d’authentification avec MFA activ. Sur la base des donnes sur les menaces compiles par les chercheurs de Microsoft, au moins 10 000 organisations ont t cibles par de telles attaques depuis septembre 2021. Microsoft affirme que le produit Microsoft 365 Defender dtecte les activits suspectes lies aux attaques de phishing AiTM et leurs activits de suivi . Les activits mentionnes incluent les vols de cookies de session et leur utilisation pour se connecter des comptes compromis.

L’analyse de scurit de Microsoft a indiqu que les campagnes qu’elle a vues utilisaient un kit de phishing prt l’emploi connu sous le nom d’Evilginx2 pour l’infrastructure AiTM. Le rapport de Zscaler, cependant, suggre que cette dernire campagne utilise un kit de phishing personnalis bas sur un proxy capable de contourner l’authentification multifacteur .

Microsoft affirme qu’il ne s’agit pas d’une vulnrabilit MFA, mais plutt du vol de cookies de session qui sont ensuite utiliss pour accder une session authentifie, et qui est authentifie quelles que soient les mthodes de connexion de l’utilisateur.

SHARPEXT lit les e-mails Gmail en silence sans dclencher les protections d’utilisation inhabituelle de Google

Rien n’alerte Google et l’utilisateur que quelqu’un s’est connect Gmail partir d’un navigateur, d’un ordinateur ou d’un emplacement diffrent. Le contournement de cette protection est crucial car cela signifie que les acteurs malveillant peuvent rester vraiment persistants, lisant tous les e-mails reus et envoys comme s’ils taient eux-mmes l’utilisateur.

Pour dtecter et enquter sur une attaque SHARPEXT, Volexity recommande d’activer et d’analyser la journalisation PowerShell ScriptBlock car PowerShell joue un rle cl dans la configuration et l’installation du logiciel malveillant. Examinez rgulirement les extensions installes, en particulier celles que vous ne reconnaissez pas ou qui ne sont pas disponibles sur le Chrome Web Store.

Cela dit, l’utilisateur moyen ne devrait pas trop s’inquiter car les victimes de ce groupe seront spcifiquement cibles. Bien sr, si vous travaillez dans un domaine qui peut les intresser, alors vous pourrez tre dans leur collimateur.

La raction de Google

Quoiqu’il en soit, un porte-parole de Google a rappel que l’extension n’tait pas hberge sur les serveurs de Google et qu’elle avait t installe en tant que malware post-exploit suite une attaque de phishing ou d’ingnierie sociale russie.

les services anti-malware et l’utilisation de systmes d’exploitation scuriss tels que ChromeOS sont les meilleures pratiques pour empcher cela et d’autres types d’attaques similaires

Le billet de blog fournit des images, des noms de fichiers et d’autres indicateurs que les personnes formes peuvent utiliser pour dterminer si elles ont t cibles ou infectes par ce logiciel malveillant. La socit a averti que la menace qu’elle reprsente a augment au fil du temps et ne devrait pas disparatre de si tt.

Lorsque Volexity a rencontr SHARPEXT pour la premire fois, il semblait tre un outil en dbut de dveloppement contenant de nombreux bogues, une indication que l’outil tait immature 7, a dclar la socit. Les dernires mises jour et la maintenance continue dmontrent que l’attaquant atteint ses objectifs, trouvant de la valeur en continuant l’affiner .

Sources : Volexity, Zscaler, CISA

Et vous ?

Utilisez-vous l’authentification multifacteurs ? quelle frquence ? Quels facteurs utilisez-vous ?

tes-vous surpris de savoir qu’il y a des outils malveillants dvelopps pour contourner ces types d’authentification ?

Prenez-vous des mesures supplmentaires une fois que vous utilisez l’authentification multifacteur ou estimez-vous que cette protection est suffisante pour vous permettre de ne pas fournir d’effort de scurit supplmentaire ?



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.