Une campagne de phishing massive baptisée « EchoSpoofing » a exploité les faibles autorisations désormais corrigées du service de protection des e-mails de Proofpoint pour envoyer des millions d’e-mails usurpés usurpant l’identité de grandes entités comme Disney, Nike, IBM et Coca-Cola, pour cibler les entreprises Fortune 100.

La campagne a débuté en janvier 2024, diffusant en moyenne 3 millions d’e-mails usurpés par jour et atteignant un pic de 14 millions d’e-mails début juin.

Volume de distribution d’e-mails « d’usurpation d’écho »

Les courriels d’hameçonnage ont été conçus pour voler des informations personnelles sensibles et entraîner des frais non autorisés. Ils comprenaient également des signatures SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) correctement configurées, ce qui les rendait authentiques pour les destinataires.

Aperçu de l’attaque de phishing

Guardio Labs a aidé à découvrir la campagne de phishing et les failles de sécurité dans les serveurs de relais de messagerie de Proofpoint. En mai 2024, ils ont informé l’entreprise et les ont aidés à y remédier.

La campagne d’usurpation d’écho
Pour mener la campagne, les auteurs de menaces ont configuré leurs propres serveurs SMTP pour créer des e-mails usurpés avec des en-têtes manipulés, puis les ont relayés via les serveurs relais de Proofpoint à l’aide de comptes Microsoft Office 365 compromis ou malveillants.

Les attaquants ont utilisé des serveurs privés virtuels (VPS) hébergés par OVH Cloud et Centrilogic pour envoyer ces e-mails et ont utilisé divers domaines enregistrés via Namecheap.

Infrastructure de l’auteur de la menace

Les acteurs de la menace pourraient passer des contrôles SPF et envoyer des e-mails via les serveurs de Proofpoint en raison d’un enregistrement SPF très permissif configuré sur les domaines par les services de sécurité de messagerie.

Lors de la configuration d’un domaine pour utiliser la passerelle de messagerie de Proofpoint, l’entreprise propose une option de configuration pour sélectionner les différents services de messagerie via lesquels vous souhaitez autoriser le relais des e-mails.

Lorsque Office 365 est sélectionné, un enregistrement SPF trop permissif a été créé, permettant à tout compte Office 365/Microsoft 365 de relayer les e-mails via le service de messagerie sécurisé de Proofpoint.

include:spf.protection.outlook.com include:spf-00278502.pphosted.com

Sur le paramètre par défaut, aucun compte ou locataire spécifique ne peut être spécifié. Au lieu de cela, Proofpoint a approuvé n’importe quelle plage d’adresses IP Office 365, ce qui signifie que n’importe quel compte pouvait utiliser son relais.

Pour DKIM, lorsqu’une entreprise travaille avec Proofpoint, elle télécharge ses clés privées DKIM sur la plate-forme afin que les e-mails transitant par le service soient correctement signés.

Comme les courriels ont maintenant passé les contrôles DKIM et SPF, ils ont été autorisés à être livrés dans les boîtes de réception sans être signalés comme spam.

Guardian Labs explique que les principales plateformes de messagerie telles que Gmail ont traité ces e-mails comme authentiques et qu’au lieu de les envoyer dans les dossiers de spam des utilisateurs, ils les ont livrés dans leurs boîtes de réception.

En-têtes d’e-mail du début à la fin

Les courriels comportaient des leurres liés à la marque usurpée, réclamant des expirations de compte ou des demandes d’approbation de renouvellement/paiement.

Exemple d’e-mail de la campagne

Proofpoint renforce la sécurité
Dans un rapport coordonné de Proofpoint, l’entreprise indique qu’elle surveillait cette campagne depuis mars,

Grâce aux IOC techniques partagés par Guardio, Proofpoint a pu atténuer ces attaques et fournir de nouveaux paramètres et conseils sur la manière de les prévenir à l’avenir.

L’entreprise dispose d’un guide détaillé sur la façon dont les utilisateurs peuvent ajouter des vérifications anti-usurpation et renforcer la sécurité de leurs e-mails, mais certaines organisations n’ont effectué aucune de ces actions manuelles pour prévenir les abus, permettant à des campagnes comme EchoSpoofing de se matérialiser.

Proofpoint a contacté les clients avec des paramètres permissifs pour les aider à sécuriser la configuration de leurs comptes.

La société a introduit l’en-tête « X-OriginatorOrg » pour aider à vérifier la source de l’e-mail et à filtrer les e-mails non légitimes et non autorisés.

De plus, un nouvel écran de configuration d’intégration de Microsoft 365 permet aux clients de configurer des autorisations plus restrictives sur les connecteurs Microsoft 365. Ces autorisations spécifient les locataires Microsoft 365 qui peuvent être relayés via les serveurs de Proofpoint.

Nouveau filtre (en haut) et écran d’intégration (en bas)

Enfin, Proofpoint a informé les clients concernés que les acteurs du phishing avaient réussi à abuser de leurs marques lors d’une opération à grande échelle.

Bien que Microsoft ait également été informé de l’abus de Microsoft 365, les comptes incriminés restent actifs, certains pendant plus de sept mois.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *