Une étude de Flare montre comment les attaquants utilisent les plateformes de conteneurs pour exécuter des pages de connexion frauduleuses à grande échelle et mettre en place des attaques de phishing sophistiquées.
Le phishing évolue de sites web isolés et rapidement mis en place vers des plateformes gérées de manière professionnelle qui fonctionnent sur une technologie cloud moderne. C’est ce que constate la société canadienne Flare dans un rapport. Flare est une entreprise de cybersécurité qui aide les organisations à détecter les menaces et les expositions externes
Plus que voler un mot de passe
Le phishing a longtemps tourné autour d’un seul objectif : convaincre quelqu’un de saisir un mot de passe sur une page contrefaite. Dans son rapport, Flare décrit comment cette approche évolue vers des systèmes qui ne se contentent pas d’essayer de capturer des mots de passe, mais qui cherchent surtout à détourner des sessions de connexion actives. En d’autres termes, même ceux qui utilisent une sécurité supplémentaire peuvent être victimes si des attaquants parviennent à prendre le contrôle de la session en cours.
Pour soutenir cette approche, Flare Research constate que l’infrastructure de phishing devient cloud-native. Parce que les attaquants recherchent les mêmes avantages que les équipes informatiques légitimes : rapidité, évolutivité et répétabilité.
lire aussi
Nouvelle tactique de phishing utilisant les formulaires web sur les sites d’entreprise
La complexité derrière l’infrastructure est en outre cachée aux utilisateurs finaux criminels. Ceux-ci peuvent consommer des services de phishing « as-a-Service ». Ce n’est pas une nouvelle évolution en soi : le paysage des menaces évolue depuis longtemps vers des modèles commerciaux qui reflètent le monde légitime.
Du forum au cluster Kubernetes
Flare a commencé son enquête à partir de publicités sur un forum russophone où des services de phishing clés en main sont proposés. De là, les chercheurs suivent des pistes vers une infrastructure qui ne ressemble pas à une collection de serveurs isolés, mais à une plateforme déployée de manière centralisée qui peut être gérée à grande échelle.
Dans leur rapport, les chercheurs font référence à une vaste campagne autour de fausses connexions Microsoft 365. Flare identifie plus d’une centaine de systèmes qui se ressemblent fortement et qui portent les traces d’une configuration moderne avec des conteneurs et des logiciels de gestion typiques des environnements cloud. Une telle approche facilite le lancement rapide de nouvelles copies du même environnement de phishing et leur déplacement tout aussi rapide lorsqu’une partie est découverte. De cette manière, la technologie Kubernetes prend en charge le Phishing-as-a-Service avancé.
Mieux caché
De plus, les pages de phishing sont conçues pour échapper au contrôle : lors d’une première visite, la page reste parfois vide, et ce n’est que plus tard que la fausse connexion apparaît. Flare constate également que les mêmes « signatures » numériques reviennent sur de nombreux systèmes, ce qui indique une réutilisation de modèles fixes.
Avec cette étude, Flare souhaite surtout démontrer que l’infrastructure de phishing évolue avec le temps. Au fur et à mesure que la sécurité s’améliore, notamment grâce à l’authentification multifacteur, les attaquants doivent développer d’autres techniques d’attaque complexes. Ce faisant, ils utilisent également les possibilités offertes par l’infrastructure moderne.