Phishing : des pirates usurpent les pages de connexion ADFS pour dérober des identifiants !
Une nouvelle campagne de phishing cible les organisations via la solution ADFS de Microsoft. En usurpant des pages de connexion, les cybercriminels contournent l’authentification multi-facteurs et compromettent les comptes des utilisateurs. Faisons le point.
Plus de 150 organisations ciblées
Selon les chercheurs de chez Abnormal Security, à l'origine de ce nouveau rapport de sécurité, cette campagne de phishing vise principalement les secteurs de l’éducation, de la santé et les organismes gouvernementaux. À l'heure actuelle, plus de 150 organisations auraient d’ores et déjà été ciblées.
Le but des cybercriminels est de compromettre les comptes de messagerie des employés, pour ensuite mener des attaques en interne ou orchestrer des fraudes de type Business Email Compromise (BEC). Dans ce cas, ils utilisent un compte de messagerie compromis pour rediriger des paiements vers leurs propres comptes bancaires.
Une usurpation des pages de connexion ADFS
D'après Abnormal Security, les attaquants envoient des e-mails aux utilisateurs en usurpant l'identité du support informatique de l’organisation. Cet e-mail a pour objectif d'inciter les destinataires à mettre à jour leurs paramètres de sécurité en cliquant sur un lien présent dans le corps du message. Ce lien, quant à lui, redirige l'utilisateur vers une page web imitant à la perfection l’interface de connexion de l’ADFS de l'entreprise ciblée.
Remarque : Active Directory Federation Services (ADFS) est un service d'authentification de Microsoft permettant aux utilisateurs d'accéder à plusieurs applications avec un seul identifiant grâce au Single Sign-On (SSO). Il se met en place sur Windows Server.
Une fois sur cette fausse page, les victimes renseignent leur identifiant, leur mot de passe et, dans certains cas, si c'est activé, leur code de validation MFA. Ensuite, une fois le formulaire de connexion validé, l'utilisateur est redirigé vers la véritable page d’authentification. Ce qui fait renforcer l'illusion... Pendant ce temps, les pirates sont parvenus à collecter des informations et à prendre le contrôle du compte. Ils peuvent alors poursuivre leur progression et leur attaque.
"Abnormal a observé des modèles ciblant plusieurs mécanismes de MFA couramment utilisés, notamment Microsoft Authenticator, Duo Security et la vérification par SMS.", peut-on lire dans le rapport des chercheurs (dans lequel vous pouvez trouver des IOC).
Les pirates utiliseraient aussi le service de VPN "Private Internet Access" pour masquer leur emplacement réel et être localisé virtuellement à proximité des entreprises ciblées. Enfin, il est à noter que le portail ADFS de l'entreprise n'est pas directement compromis, mais sa fonction première est détournée par les attaquants.
