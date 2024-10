Une nouvelle plate-forme de phishing en tant que service (PhaaS) appelée Mamba 2FA a été observée ciblant les comptes Microsoft 365 dans le cadre d’attaques AiTM à l’aide de pages de connexion bien conçues.

De plus, Mamba 2FA offre aux acteurs malveillants un mécanisme d’adversaire au milieu (AiTM) pour capturer les jetons d’authentification de la victime et contourner les protections d’authentification multifacteur (MFA) sur leurs comptes.

Mamba 2FA est actuellement vendu aux cybercriminels pour 250 $/mois, ce qui est un prix compétitif qui le positionne parmi les plateformes de phishing les plus attrayantes et à la croissance la plus rapide du secteur.

Découverte et évolution

Mamba 2FA était documenté pour la première fois par Any.Run analystes fin juin 2024, mais Rapports Sékoia qu’elle suit l’activité liée à la plateforme de phishing depuis mai 2024.

Des preuves supplémentaires montrent que Mamba 2FA soutient des campagnes de phishing depuis novembre 2023, le kit étant vendu sur ICQ et plus tard sur Telegram.

Suite au rapport d’Any.Run sur une campagne soutenue par Mamba 2FA, les opérateurs du kit de phishing ont apporté plusieurs modifications à leur infrastructure et à leurs méthodes pour augmenter la furtivité et la longévité des campagnes de phishing.

Par exemple, à partir d’octobre, Mamba 2FA a introduit des serveurs proxy provenant d’IPRoyal, un fournisseur commercial, pour masquer les adresses IP des serveurs relais dans les journaux d’authentification.

Auparavant, les serveurs relais étaient connectés directement aux serveurs Microsoft Entra ID, exposant les adresses IP et facilitant les blocages.

Les domaines de liens utilisés dans les URL de phishing sont désormais de très courte durée et sont généralement renouvelés chaque semaine pour éviter d’être mis sur liste noire par les solutions de sécurité.

Un autre changement consistait à améliorer les pièces jointes HTML utilisées dans les campagnes de phishing avec un contenu de remplissage inoffensif pour masquer un petit extrait de JavaScript qui déclenche l’attaque, ce qui rend la détection plus difficile par les outils de sécurité.

Les utilisateurs « mordants » de Microsoft 365

Mamba 2FA est spécifiquement conçu pour cibler les utilisateurs des services Microsoft 365, y compris les comptes d’entreprise et grand public.

Comme d’autres plates-formes PhaaS similaires, elle utilise des relais proxy pour mener des attaques de phishing AiTM, permettant aux acteurs malveillants d’accéder à des codes d’accès à usage unique et à des cookies d’authentification.

Le mécanisme AiTM utilise la bibliothèque JavaScript Socket.IO pour établir la communication entre la page de phishing et les serveurs relais au niveau du backend, qui à leur tour communiquent avec les serveurs de Microsoft en utilisant les données volées.

Aperçu opérationnel de Mamba 2FA

Source : Sékoia

Mamba 2FA propose des modèles de phishing pour divers services Microsoft 365, notamment OneDrive, SharePoint Online, des pages de connexion Microsoft génériques et de fausses notifications de messagerie vocale qui redirigent vers une page de connexion Microsoft.

Pour les comptes d’entreprise, les pages de phishing adoptent de manière dynamique la marque de connexion personnalisée de l’organisation ciblée, y compris les logos et les images d’arrière-plan, ce qui rend la tentative plus authentique.

Modèles de phishing utilisés dans les attaques Mamba 2FA

Source : Sékoia

Les informations d’identification capturées et les cookies d’authentification sont transmis à l’attaquant via un robot Telegram, lui permettant d’ouvrir une session immédiatement.

Mamba 2FA propose également une détection sandbox, redirigeant les utilisateurs vers les pages Web Google 404 lorsqu’il en déduit qu’elles sont en cours d’analyse.

Dans l’ensemble, la plateforme Mamba 2FA constitue une nouvelle menace pour les organisations, permettant à des acteurs peu qualifiés de mener des attaques de phishing très efficaces.

Pour vous protéger contre les opérations PhaaS à l’aide des tactiques AiTM, envisagez d’utiliser des clés de sécurité matérielles, une authentification basée sur des certificats, un blocage géographique, une liste d’autorisation IP, une liste d’autorisation d’appareils et une réduction de la durée de vie des jetons.