L’outil implante sournoisement des e-mails malveillants dans les boîtes de réception, mais il peut être contrecarré

  • FrançaisFrançais


  • L’utilisateur de BlackBerry Douglas Philips vérifie ses e-mails sur son BlackBerry en 2007 à San Francisco, en Californie. Un nouvel outil disponible sur le dark web permet aux cyberattaquants d’abuser d’une fonctionnalité spéciale du protocole d’accès aux messages Internet utilisé pour l’accès distant aux e-mails. (Photo par Justin Sullivan / Getty Images)

    Des marchands du Dark Web ont été observés en train de vendre un nouvel outil permettant aux cybercriminels de planter des e-mails malveillants dans les boîtes de réception des utilisateurs en accédant secrètement à leurs comptes, puis en abusant d’une fonctionnalité spéciale du protocole IMAP (Internet Message Access Protocol) qui vous permet d’ajouter un message.

    Étant donné que l’attaquant n’envoie jamais réellement d’e-mail sur Internet, l’e-mail contourne essentiellement certaines solutions de sécurité de messagerie qui normalement détecteraient et filtreraient le message malveillant en route vers le destinataire.

    Cet outil – écrit en Node JS, compilé dans un exécutable MS-Windows, appelé Email Appender – pourrait être utile pour quiconque cherche à lancer des attaques de phishing ou de compromission par courrier électronique professionnel, a averti un nouveau billet de blog de Gemini Advisory, dont les analystes ont découvert la menace. . «Les acteurs criminels ont fait leur prochain pas pour dépasser les précautions de sécurité anti-spam et anti-fraude existantes en passant à l’implantation d’e-mails. La balle est maintenant de retour dans le camp des praticiens de la cybersécurité », indique le message.

    Pour fonctionner, l’attaquant doit d’abord être en possession de l’adresse e-mail et des informations d’identification du compte des victimes potentielles. Cependant, c’est assez simple: «Des milliards de paires d’informations d’identification sont facilement disponibles dans le cadre de décharges gratuites ou à faible coût échangées et vendues par des cybercriminels, ce ne sera donc probablement pas un élément dissuasif», a déclaré Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4.

    L’outil Email Appender utilise toutes les informations d’identification volées valides pour se connecter à leurs comptes de messagerie correspondants via IMAP, puis utilise la fonction «ajouter» du protocole pour ajouter un nouveau message. Ces communications par e-mail peuvent être adaptées pour être particulièrement crédibles et convaincantes. En fait, l’attaque peut même modifier le nom et l’adresse de l’expéditeur pour usurper parfaitement le domaine d’une entreprise authentique.

    «Cela contraste avec les systèmes de messagerie typiques qui sont obligés de modifier légèrement l’orthographe de l’adresse e-mail réelle», a déclaré Gemini Advisory dans le billet de blog. De plus, les attaquants peuvent également modifier le champ de réponse «pour rediriger les réponses vers une adresse e-mail sous leur contrôle et loin des adresses d’expéditeur et d’expéditeur falsifiées».

    «Compte tenu des menaces que représente le phishing par e-mail pour les organisations, cette capacité à injecter des messages directement dans la boîte e-mail pourrait être un outil très puissant pour les cybercriminels», a conclu Kron. «En contournant les filtres anti-spam et les passerelles de messagerie, cela permettra aux pièces jointes qui pourraient autrement être capturées d’arriver en toute sécurité dans la boîte de réception de l’utilisateur.

    Cependant, Kevin O’Brien, PDG et co-fondateur de la société de sécurité de messagerie GreatHorn, a déclaré à SC Media que la menace est «exagérée» et peut être facilement neutralisée en interdisant simplement les connexions IMAP ou en utilisant toute «solution de sécurité de messagerie native cloud moderne. qui analyse le message au niveau de la boîte aux lettres. »

    Il a déclaré que seules les anciennes passerelles de messagerie sécurisées seraient contournées.

    «IMAP… remonte à 1986, et cette ‘attaque’ n’est fondamentalement rien de plus qu’IMAP faisant ce qu’il est censé faire», a poursuivi O’Brien. “Avec un accès complet aux informations d’identification à une boîte aux lettres, vous pouvez faire des choses qui pourraient être trompeuses – ce qui n’est ni intéressant ni nouveau.” Il l’a comparé à un cambrioleur qui récupérait les clés de votre maison, craignant alors que le hamburger ne l’utilise pour mettre du faux courrier sur la table de votre cuisine, car vous pourriez alors envoyer un chèque pour payer une fausse facture.

    «Cela pourrait arriver, mais le cambrioleur pourrait aussi voler vos appareils électroniques ou vos bijoux – et c’est plus facile et plus rapide», a-t-il déclaré.

    Que l’outil représente un danger grave ou non, il existe des mesures que les individus et les organisations peuvent prendre pour se défendre contre lui. Pour commencer, Gemini Advisory recommande la mise en œuvre de l’authentification multifacteur pour les comptes de messagerie.

    De plus, selon Krone, les gens «devraient apprendre à utiliser des mots de passe uniques pour chaque site Web sur lequel ils créent des comptes».

    O’Brien, cependant, a qualifié la réponse de trivialement simple: ne pas autoriser les connexions IMAP. «C’est un paramètre par défaut dans Office 365. Ce n’est pas un protocole nécessaire en 2020 dans presque toutes les circonstances.»

    Cela dit, Gemini Advisory a noté que de nombreuses entreprises et organisations gouvernementales «offrent toujours la connectivité IMAP en plus de leurs programmes Bring Your Own Device (BYOD)».

    Mais même pour ceux qui choisissent d’utiliser IMAP, «toute solution de sécurité de messagerie intégrée – toute solution de sécurité de messagerie native du cloud qui analyse au niveau de la boîte aux lettres, et non comme un outil de sécurité de périmètre – analyserait le courrier ajouté et le marquerait instantanément comme étant complètement frauduleux », a déclaré O’Brien. «Cette attaque s’effondre complètement avec une solution de sécurité de messagerie moderne en place, qui verrait tous les détails manquants qu’un message inséré aurait.»

    Gemini Advisory a noté plusieurs autres attributs clés du rapport Email Appender selon lequel l’outil peut être configuré pour utiliser des proxys SOCK afin de tromper les plates-formes de messagerie qui surveillent les adresses IP des utilisateurs cherchant à se connecter à des comptes via IMAP. «Pour aggraver les choses, Email Appender est également pré-emballé avec 10 000 configurations de serveur IMAP qui peuvent être mises à jour selon les besoins, et le logiciel peut analyser les adresses e-mail des victimes pour identifier la connexion de serveur à utiliser», indique le blog.

    Gemini Advisory a également averti que les attaquants pourraient utiliser l’outil pour créer leur propre copie de la boîte aux lettres d’une victime, puis supprimer l’original afin de conserver les e-mails volés contre une rançon.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *