LayerX Labs identifie une nouvelle attaque de phishing de type « zero-hour » imitant les notifications de sécurité de Microsoft

LayerX Labs a identifié une nouvelle campagne de phishing zero-day qui usurpe l'identité des notifications de sécurité Microsoft pour inciter les victimes à partager leurs informations de connexion et leurs informations de paiement. L'attaque imite une alerte de sécurité de Microsoft Windows Defender, exhortant les utilisateurs à appeler un numéro d'assistance téléphonique, à saisir leurs informations d'identification et à effectuer un paiement au centre d'appels pour « sécuriser » leur ordinateur.

Ou Eshed Publié - 16 octobre 2024

LayerX Labs identifie une nouvelle attaque de phishing de type « zero-hour » imitant les notifications de sécurité de Microsoft

L'attaque imite une alerte de sécurité de Microsoft Windows Defender, exhortant les utilisateurs à appeler un numéro d'assistance téléphonique, à saisir leurs informations d'identification et à effectuer un paiement au centre d'appels pour « sécuriser » leur ordinateur.

Cette attaque a pu pénétrer les mécanismes de sécurité réseau traditionnels tels que les passerelles Web sécurisées (SWG) et les solutions Security Service Edge (SSE) car elle utilise un certain nombre de techniques d'évasion conçues spécialement pour échapper aux outils de sécurité traditionnels.

Dans ce blog, nous partagerons les détails de cet incident, expliquerons ce qui le rend unique, expliquerons pourquoi il a échappé aux mécanismes de sécurité traditionnels et comment vous pouvez vous protéger (et votre organisation) contre des tentatives similaires.

L'incident : une alerte frauduleuse de Microsoft

Cette attaque a été identifiée dans l'environnement de l'un des grands clients d'entreprise de LayerX, où elle a contourné plusieurs couches de contrôles de sécurité réseau, mais a été automatiquement bloquée par LayerX avant de pouvoir causer des dommages.

L’attaque utilise une stratégie simple mais efficace : une page Web ressemblant à une alerte Microsoft Windows Defender affirmant que leur ordinateur a été infecté par un logiciel malveillant.

Le message affirme que l'appareil de l'utilisateur a été infecté par un logiciel malveillant, l'invitant à appeler un numéro d'assistance pour une assistance immédiate.

Les utilisateurs qui tentaient de quitter la page voyaient un message indiquant que leur appareil était verrouillé, ce qui les obligeait à saisir leurs informations d'identification pour se connecter.

Dans certains cas que nous avons testés, le code de la page a pu provoquer le blocage du navigateur Web, imitant un blocage de sécurité par Microsoft et les invitant à nouveau à appeler le faux numéro d'assistance de sécurité.

Ce type d'ingénierie sociale exploite l'urgence et l'anxiété des utilisateurs sans méfiance. En simulant une urgence de sécurité, les attaquants incitent les utilisateurs à agir immédiatement afin qu'ils ne prennent pas le temps d'examiner l'alerte de trop près.

Plusieurs niveaux de risque

Les attaquants ont souvent recours à des tactiques de phishing pour inciter les utilisateurs à partager des informations ou à donner accès à des systèmes. Sans détection avancée, les utilisateurs auraient pu être exposés à l'attaque, ce qui les exposerait aux risques suivants :

En appelant le numéro d'assistance fourni, les attaquants pourraient les manipuler pour qu'ils paient une rançon ou accordent un accès à distance à leurs systèmes.
En saisissant leurs identifiants sur le site de phishing, les attaquants pourraient les voler et les utiliser pour prendre le contrôle de leurs comptes.
Leurs informations utilisateur sont exploitées pour des attaques plus sophistiquées ou vendues sur le dark web.

Pourquoi les défenses conventionnelles ont échoué

De nombreuses organisations déploient une solution Secure Web Gateway (SWG) pour faire face aux menaces de navigation et aux attaques de phishing. Néanmoins, cette attaque a été détectée chez un client LayerX, où elle a contourné le SWG de l'organisation. En effet, les défenses de la couche réseau telles que SWG et les passerelles de messagerie reposent généralement sur deux méthodes principales :

Listes de blocage des URL malveillantes connues
Signatures de pages de phishing connues

Cette attaque a pu contourner les deux pour les raisons suivantes :

1. Domaine d'hébergement légitime

Les attaquants ont hébergé leur page de phishing sur un domaine d’hébergement Microsoft légitime : windows[.]net.

Windows[.]net est une plateforme de Microsoft permettant aux développeurs d'héberger des applications Web .net et Azure. Cela signifie que la page de phishing résidait sur l'infrastructure de Microsoft. Par conséquent, la page bénéficiait d'une excellente réputation de domaine de premier niveau (TLD).

Cela l'a fait apparaître aux yeux d'un observateur extérieur comme une page légitime de Microsoft et lui a permis de contourner les défenses traditionnelles basées sur les URL.

Même si une solution de défense basée sur l'URL identifiait une activité malveillante, elle ne bloquerait généralement pas l'ULR, car le blocage de tous les sous-domaines sous « windows.net » perturberait d'innombrables services légitimes hébergés par Microsoft, entraînant des problèmes opérationnels pour les organisations.

2. Sous-domaines randomisés à heure zéro

Les assaillants ont utilisé sous-domaines randomisés pour éviter toute détection. Les laboratoires LayerX ont capturé `pushalm83e.z13.web.core.windows[.]net`. Cependant, ces chaînes de domaine peuvent être facilement générées et fréquemment tournées.

Cela permet aux attaquants de s'assurer que la page ne correspond à aucune menace existante ou liste noire d'URL en place. Cette tactique, souvent appelée technique « zero-hour », permet aux sites de phishing de rester en ligne juste assez longtemps pour piéger les victimes avant qu'elles ne soient fermées et transférées vers un autre sous-domaine aléatoire.

3. Faible similarité avec les kits de phishing

La conception de la page de phishing était nouvelle et ne correspondait pas aux modèles, hachages et signatures existants que l'on retrouve généralement dans les kits de phishing. Cela a permis à la page d'échapper à la détection par des solutions s'appuyant sur l'analyse de similarité des pages de phishing.

Les contrôles s'appuyant uniquement sur des modèles et des listes de phishing, sans inspecter le contenu de la page Web elle-même, seront contournés par des attaques avancées et créatives.

Néanmoins, malgré ces caractéristiques, LayerX a pu détecter et bloquer cette attaque à temps.

Pourquoi LayerX a détecté l'échec des défenses héritées

Contrairement aux outils de sécurité réseau traditionnels, qui s'appuient principalement sur des listes d'URL connues comme malveillantes, LayerX protège contre le phishing et l'ingénierie sociale en exploitant le filtrage d'URL avec une analyse en temps réel du comportement des pages.

L'analyse en temps réel du contenu Web par LayerX ne repose pas uniquement sur la réputation du domaine ou les signatures statiques. Au lieu de cela, elle utilise un réseau neuronal alimenté par l'IA pour détecter les facteurs de risque en temps réel, même pour les attaques inédites. Ainsi, lorsque la page de phishing a tenté d'inviter les utilisateurs à saisir des informations d'identification ou à appeler un numéro d'assistance, la solution de LayerX a immédiatement identifié cette tentative, l'a signalée comme suspecte et a automatiquement bloqué la page, évitant ainsi tout dommage potentiel.

LayerX est la première solution qui relève le défi de sécuriser la surface d’attaque la plus ciblée et la plus exposée aujourd’hui – le navigateur, sans impacter l’expérience utilisateur.

LayerX offre une protection complète contre toutes les menaces véhiculées par le Web avec une surveillance continue, une analyse des risques et une application en temps réel de tout événement et activité utilisateur au cours de la session de navigation.

Les entreprises exploitent ces fonctionnalités pour sécuriser leurs appareils, leurs identités, leurs données et leurs applications SaaS contre les menaces et les risques de navigation véhiculés par le Web, contre lesquels les solutions de point d'accès et de réseau ne peuvent pas se protéger. Il s'agit notamment du blocage des fuites de données sur le Web, des applications SaaS et des outils GenAI, de la prévention du vol d'informations d'identification par phishing, de l'application d'un accès sécurisé aux ressources SaaS par le personnel interne ou externe pour atténuer le risque de prise de contrôle de compte, de la découverte et de la désactivation des extensions de navigateur malveillantes, du Shadow SaaS, etc.

L'extension de navigateur LayerX Enterprise s'intègre nativement à n'importe quel navigateur, le transformant en l'espace de travail le plus sécurisé et le plus gérable. En savoir plus.

Ou Eshed

Or Eshed est co-fondateur et PDG de la plateforme de sécurité des navigateurs LayerX, avec plus d'une décennie d'expérience dans la cybersécurité, l'intelligence artificielle et la guerre de l'information.

L'extension du navigateur d'entreprise

Gestion des extensions de navigateur DLP Web/SaaS Protection d'identité Sécurité GenAI SaaS fantôme navigation sécurisée Accès sécurisé

La protection contre les menaces véhiculées par le Web commence par une plateforme de sécurité du navigateur

LayerX Labs identifie une nouvelle attaque de phishing de type « zero-hour » imitant les notifications de sécurité de Microsoft

L'incident : une alerte frauduleuse de Microsoft

Plusieurs niveaux de risque

Pourquoi les défenses conventionnelles ont échoué

1. Domaine d'hébergement légitime

2. Sous-domaines randomisés à heure zéro

3. Faible similarité avec les kits de phishing

Pourquoi LayerX a détecté l'échec des défenses héritées

Ou Eshed

L'extension du navigateur d'entreprise

Table des matières

Obtenez les dernières nouveautés de LayerX

Documentation associée

Article de Blog

Présentation du suivi complet des conversations : la prochaine étape de la protection des données GenAI

Article de Blog

Développer un avenir de navigateur plus intelligent et plus sûr

Article de Blog

Gartner : Le navigateur est le nouveau point de contrôle de sécurité à l’ère du SaaS