Une campagne de phishing du service d’assistance cible les services de fédération Microsoft Active Directory (ADFS) d’une organisation à l’aide de pages de connexion usurpées pour voler des informations d’identification et contourner les protections d’authentification multifacteur (MFA).
Les cibles de cette campagne, selon Abnormal Security qui l’a découverte, sont principalement l’éducation, la santé et les organisations gouvernementales, l’attaque ciblant au moins 150 cibles.
Ces attaques visent à accéder aux comptes de messagerie d’entreprise pour envoyer des courriels à d’autres victimes au sein de l’organisation ou à effectuer des attaques à motivation financière telles que la compromission de la messagerie professionnelle (BEC), où les paiements sont détournés vers les comptes des auteurs de la menace.
Usurpation des Services de Fédération Microsoft Active Directory
Microsoft Active Directory Federation Services (ADFS) est un système d’authentification qui permet aux utilisateurs de se connecter une seule fois et d’accéder à plusieurs applications et services sans avoir à saisir leurs informations d’identification à plusieurs reprises.
Il est généralement utilisé dans les grandes organisations pour fournir une authentification unique (SSO) sur les applications internes et basées sur le cloud.
Les attaquants envoient des courriels à des cibles se faisant passer pour l’équipe informatique de leur entreprise, leur demandant de se connecter pour mettre à jour leurs paramètres de sécurité ou accepter de nouvelles politiques.
En cliquant sur le bouton intégré, les victimes sont redirigées vers un site de phishing qui ressemble exactement à la véritable page de connexion ADFS de leur organisation.
La page de phishing demande à la victime d’entrer son nom d’utilisateur, son mot de passe et le code MFA ou l’incite à approuver la notification push.
« Les modèles de phishing incluent également des formulaires conçus pour capturer le deuxième facteur spécifique requis pour authentifier le compte des cibles, en fonction des paramètres MFA configurés par les organisations », lit-on dans le rapport de Abnormal Security.
« Modèles anormaux observés ciblant plusieurs mécanismes MFA couramment utilisés, notamment Microsoft Authenticator, Duo Security et la vérification par SMS. »
Une fois que la victime a fourni tous les détails, elle est redirigée vers la page de connexion légitime pour réduire les soupçons et donner l’impression que le processus est terminé avec succès.
Pendant ce temps, les attaquants exploitent immédiatement les informations volées pour se connecter au compte de la victime, voler des données précieuses, créer de nouvelles règles de filtrage des e-mails et tenter un hameçonnage latéral.
Anormal dit que les attaquants de cette campagne ont utilisé un VPN d’accès Internet privé pour masquer leur emplacement et attribuer une adresse IP plus proche de l’organisation.
Même si ces attaques de phishing ne violent pas directement ADFS et reposent plutôt sur l’ingénierie sociale pour fonctionner, la tactique est toujours remarquable pour son efficacité potentielle étant donné la confiance inhérente que de nombreux utilisateurs ont dans les flux de travail de connexion familiers.
Anormal suggère que les organisations migrent vers des solutions modernes et plus sécurisées telles que Microsoft Entra et introduisent des filtres de messagerie supplémentaires et des mécanismes de détection des activités anormales pour arrêter rapidement les attaques de phishing.