Une nouvelle campagne de phishing a utilisé l'infrastructure légitime de Dropbox et a réussi à contourner les protocoles d'authentification multifactorielle (MFA).
Alors que le courrier électronique a longtemps été le vecteur de choix pour mener des attaques de phishing, les pirates, ainsi que leurs tactiques, techniques et procédures (TTP), s'adaptent et évoluent.
Il n'est donc pas surprenant que l'utilisation malveillante d'autres services populaires soit devenue leur cible favorite ces dernières années, notamment la plateforme de stockage cloud Dropbox que nous avons testée ici.
Avec plus de 700 millions d'utilisateurs, Dropbox s'est imposé comme un service de stockage cloud de premier plan, réputé pour la simplicité du stockage et du partage de fichiers. Mais toute médaille possède son revers et une faille est vite exploitée par ceux qui les traquent. Dropbox a déjà fait l'objet d'une attaque de phishing en 2022,
qui a permis aux pirates de s'emparer des codes d'authentification multifacteur. Ceux-ci ont ainsi pu dérober 130 des dépôts GitHub de Dropbox.
En s'appuyant sur l'infrastructure légitime de Dropbox, des pirates ont utilisé de faux e-mails adressés à leurs cibles, les invitant à télécharger à leur insu des logiciels malveillants ou de révéler des informations sensibles telles que les identifiants de connexion.
Une attaque ciblée sur l'infrastructure de Dropbox à l'aide de faux e-mails et de liens frauduleux
C'est la société britannique de cybersécurité, Darktrace, qui a détecté une tentative malveillante d'utilisation de Dropbox dans le cadre d'une attaque de phishing en janvier 2024, lorsque les employés d'un de ses clients ont reçu un e-mail apparemment inoffensif provenant d'une adresse Dropbox légitime.
Ces 16 utilisateurs sont en effet reçu un courriel de « no-reply@dropbox.com », une adresse électronique légitime utilisée par le service de stockage de fichiers Dropbox.
Le courriel contenait un lien qui conduisait l'utilisateur à un fichier PDF hébergé sur Dropbox, qui portait apparemment le nom d'un partenaire de l'organisation.
Ce fichier PDF contenait un lien suspect vers un domaine qui n'avait jamais été vu auparavant dans l'environnement du client, nommé « mmv-security[.]top ».
Les chercheurs de chez Darktrace ont noté qu'il y a « très peu de choses qui permettent de distinguer » les courriels malveillants ou bénins des courriels automatisés utilisés par des services légitimes tels que Dropbox. Par conséquent, cette approche est efficace pour échapper aux outils de sécurité des courriels et pour convaincre les cibles de cliquer sur un lien malveillant.
Cet e-mail a été détecté et isolé par l'outil de sécurité des e-mails de Darktace. Cependant, le 29 janvier, un utilisateur a reçu un autre courriel provenant de l'adresse légitime no-reply@dropbox.com, lui rappelant d'ouvrir le fichier PDF précédemment partagé. Bien que le message ait été déplacé dans le fichier indésirable de l'utilisateur, l'employé a ouvert le courriel suspect et suivi le lien vers le fichier PDF. Quelques jours plus tard, l'appareil interne s'est connecté au lien malveillant mmv-security.top.
Ce lien menait à une fausse page de connexion à Microsoft 365, conçue pour recueillir les informations d'identification des détenteurs légitimes de comptes SaaS.
Les chercheurs ont ajouté que l'usurpation de l'identité d'organisations de confiance comme Microsoft est un moyen efficace de paraître légitime aux yeux des cibles.
Hanah Darley, responsable de la recherche sur les menaces chez Darktrace, ajoute par ailleurs que le contournement de l'authentification multifactorielle (MFA) est également « une tactique fréquemment utilisée par les attaquants, en particulier parce qu'elle permet d'accéder à des ressources partagées telles que les fichiers SharePoint, qui peuvent être exploités ». Cet incident montre que les organisations ne peuvent plus compter sur l'AMF comme dernière ligne de défense contre les cyber-attaquants.
Des pirates de plus en plus efficaces et insistants dans des attaques de phishing de plus en plus sophistiquées et ciblées
Après avoir contourné la MFA, une autre méthode consiste à utiliser un compte de messagerie compromis pour envoyer des e-mails eux aussi corrompus. C'est une connexion suspecte via VPN qui a mis la puce à l'oreille des chercheurs de Darktrace.
L'acteur malveillant a alors créé une règle de messagerie sur l'Outlook piraté pour envoyer tous les e-mails de l'équipe comptable dans le dossier « Historique des conversations ».
Cette méthode visait à échapper à la vigilance en cachant les e-mails frauduleux et les réponses éventuelles.
L'acteur a aussi envoyé des e-mails incitatifs avec des objets comme « Contrat incorrect » ou « Requiert un examen urgent ».
« Il s'agit probablement d'acteurs de la menace qui utilisent le compte compromis pour envoyer d'autres courriels malveillants à l'équipe des comptes de l'organisation afin d'infecter d'autres comptes dans l'environnement SaaS du client », expliquent les chercheurs, ajoutant qu'il est « relativement simple »
pour les pirates d'utiliser des services légitimes comme Dropbox pour héberger des fichiers malveillants.
Selon Hanah Darley, ce cas montre à quel point les cybercriminels deviennent sophistiqués dans la mise en place d'attaques. Les courriels eux-mêmes provenaient d'une adresse légitime sans réponse de Dropbox, qui envoie généralement des avis ou des liens aux clients.
Elle a également souligné l'importance de l'IA générative pour concevoir des e-mails de phishing plus élaborés.
Le rapport de fin d'année 2023 de Darktrace a révélé que plus d'un quart des cas de phishing au second semestre 2023 avaient plus de 1 000 caractères, grâce à l'IA générative.
« Il ne s'agit pas de courriels à charge utile unique contenant quelques mots et un lien douteux, mais plutôt d'e-mails très élaborés et très détaillés. Il existe également des cas d'ingénierie sociale renforcée dans lesquels les attaquants se glissent dans des conversations existantes, se font passer pour des collègues ou des contacts connus et tentent d'imiter le ton de la correspondance », a-t-elle ajouté, en indiquant que l'aide de l'IA donne plus de temps aux pirates pour peaufiner leurs attaques et les mener à plus grande échelle.
Source : Infosecurity Magazine, Darktrace
Ex-journaliste société, l'univers du web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet m'ouvre l'appétit. De la dernière trend TikTok au reels le plus liké, je suis issue de la génération Facebook que la guerre intestine entre Mac et PC passionne encore. En daronne avisée, Internet, ses outils, pratiques et régulation font partie de mes loisirs favoris (ça, le lineart, le tricot et les blagues pourries). Ma devise: l'essayer, c'est l'adopter, mais en toute sécurité.
Lire d'autres articles
