Les pirates ont exploité une vulnérabilité zero-day dans les services de messagerie et les serveurs SMTP de Salesforce pour lancer une campagne de phishing sophistiquée ciblant de précieux comptes Facebook.

Les attaquants ont enchaîné une faille appelée « PhishForce », pour contourner les garanties de vérification de l’expéditeur de Salesforce et les bizarreries de la plate-forme de jeux Web de Facebook pour envoyer en masse des e-mails de phishing.

L’avantage d’utiliser une passerelle de messagerie réputée comme Salesforce pour distribuer des e-mails de phishing est l’évasion des passerelles de messagerie sécurisées et des règles de filtrage, garantissant que les e-mails malveillants atteignent la boîte de réception de la cible.

La campagne a été découverte par les analystes de Guardio Labs, Oleg Zaytsev et Nati Tal, qui ont signalé la vulnérabilité inconnue à Salesforce et les ont aidés dans le processus de correction.

Cependant, les problèmes découverts dans la plate-forme de jeu de Facebook sont exceptionnels, car les ingénieurs de Meta essaient toujours de comprendre pourquoi les atténuations existantes n’ont pas réussi à arrêter les attaques.

PhishForce abusé lors d’attaques
Le CRM Salesforce permet aux clients d’envoyer des e-mails sous leur propre marque en utilisant des domaines personnalisés que la plateforme doit d’abord vérifier. Cela empêche les clients d’envoyer des e-mails via Salesforce en tant qu’autres marques qu’ils n’ont pas l’autorisation d’emprunter.

Cependant, Guardio Labs affirme que les attaquants ont trouvé un moyen d’exploiter la fonctionnalité « Email-to-Case » de Salesforce, que les organisations utilisent pour convertir les e-mails entrants des clients en tickets exploitables pour leurs équipes d’assistance.

Plus précisément, les attaquants ont configuré un nouveau flux « Email-to-Case » pour prendre le contrôle d’une adresse e-mail générée par Salesforce, puis ont créé une nouvelle adresse e-mail entrante sur le domaine « salesforce.com ».

Adresse Salesforce générée

Ensuite, ils ont défini cette adresse comme une « adresse e-mail à l’échelle de l’organisation », que Mass Mailer Gateway de Salesforce utilise pour les e-mails sortants, et ont finalement suivi le processus de vérification pour confirmer la propriété du domaine.

Cliquer sur le lien de vérification pour confirmer la propriété

Ce processus leur a permis d’utiliser leur adresse e-mail Salesforce pour envoyer des messages à n’importe qui, en contournant à la fois les protections de vérification de Salesforce et tout autre filtre de messagerie et système anti-hameçonnage en place.

En effet, c’est ce que Guardio Labs a observé dans la nature, avec des e-mails de phishing censés provenir de « Meta Platforms » utilisant le domaine « case.salesforce.com ».

E-mail de phishing échantillonné à partir d’une attaque réelle

En cliquant sur le bouton intégré, la victime accède à une page de phishing hébergée et affichée dans le cadre de la plate-forme de jeu Facebook (« apps.facebook.com »), ce qui ajoute une légitimité supplémentaire à l’attaque et rend encore plus difficile pour les destinataires de l’e-mail de réaliser la fraude.

Page de phishing hébergée sur la plateforme de jeu Facebook

L’objectif du kit de phishing utilisé dans cette campagne est de voler les informations d’identification du compte Facebook, même avec des mécanismes de contournement de l’authentification à deux facteurs.

La chaîne d’attaque observée

Meta enquête toujours
Après avoir confirmé les problèmes en reproduisant la création d’une adresse de marque Salesforce capable de diffuser des e-mails de phishing, Guardio Labs a informé le fournisseur de leur découverte le 28 juin 2023

Salesforce a reproduit la vulnérabilité et résolu le problème exactement un mois plus tard, le 28 juillet 2023.

Concernant l’abus de « apps.facebook.com », Guardio Labs note qu’il devrait être impossible pour les attaquants de créer la toile de jeu utilisée comme page de destination depuis que Facebook a retiré cette plateforme en juillet 2020.

Cependant, les comptes hérités qui utilisaient la plate-forme avant son obsolescence y ont toujours accès, et les acteurs de la menace pourraient payer une prime pour ces comptes sur le dark web.

Meta a supprimé les pages en infraction sur le rapport de Guardio Labs ; cependant, ses ingénieurs étudient toujours pourquoi les protections existantes n’ont pas réussi à arrêter les attaques.

Alors que les acteurs du phishing continuent d’explorer toutes les opportunités d’abus potentiels sur les fournisseurs de services légitimes, de nouvelles failles de sécurité menacent constamment d’exposer les utilisateurs à de graves risques.

Ainsi, il est essentiel de ne pas compter uniquement sur les solutions de protection des e-mails, mais aussi d’examiner chaque e-mail qui arrive dans votre boîte de réception, de rechercher les incohérences et de revérifier toutes les réclamations faites dans ces messages.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *