La campagne d’hameçonnage dite de « Phishing en cascade » se distingue par un haut niveau de sophistication. Comment fonctionne l’attaque ?
Selon l’alerte documentée par l’Association des professionnels de la sécurité de l’information de Côte d’Ivoire (APSI-CI), avec captures d’écran à l’appui, le point de départ de cette attaque est un courriel initial extrêmement convaincant, rédigé avec soin et faisant référence à un appel d’offre, incitant la cible à ouvrir un document PDF. Ce courriel provient d’une boîte de messagerie légitime préalablement compromise et utilise la signature de la victime initiale, conférant ainsi une très forte crédibilité à l’expéditeur. Le fichier PDF attaché est techniquement sain, ne contenant aucun logiciel malveillant, ce qui lui permet de contourner les systèmes de sécurité classiques.
Une fois ouvert, le PDF affiche un contenu personnalisé, incluant le logo et la charte graphique de l’entreprise compromise, et présente un lien très évocateur. Ce lien redirige la cible vers une page web d’apparence légitime et saine. En réalité, cette page de phishing est masquée, car elle est un sous-site créé sur le serveur web d’une autre entreprise légitime, elle-même compromise, la rendant indétectable par de nombreux outils de protection. Pour accroître encore la légitimité perçue, la page de phishing intègre un re-captcha Cloudflare, avant d’inviter la victime à saisir ses identifiants pour « télécharger » le dossier d’appel d’offres.
Pour masquer leurs adresses IP réelles et accéder aux comptes compromis, les attaquants utilisent une infrastructure d’accès distant robuste basée sur au moins trois serveurs virtuels privés (VPS) dans le cloud, servant de rebond. Ces serveurs sont configurés pour afficher un message trompeur de type « Server Hangup » pour piéger les investigateurs, mais sont pourtant opérationnels et équipés d’outils d’accès à distance tels que Synology QuickConnect et OpenVPN.
Artefacts, adresses de rebond, domaine inversé…
Afin de mieux illustrer cette attaque sophistiquée, la Cellule de veille en cybersécurité de l’APSI-CI a collecté des artefacts techniques pour faciliter la détection et la vérification. Les organisations sont invitées à vérifier immédiatement leurs logs à la recherche de toute activité liée à l’URL de destination du phishing, qui a été identifiée comme https://artoasglobal.com/cloud/. Il est également pertinent de vérifier les connexions vers l’URL de l’entreprise légitime compromise : https://artoasglobal.com/contact. Les adresses IP des serveurs de rebond utilisés par les attaquants sont les suivantes : 194.110.13.12, 158.173.23.57, et 151.241.119.123. De plus, un domaine inversé associé à titre d’exemple est http://donflix.direct.quickconnect.to/. Pour les experts de l’APSI-CI, la présence de ces indicateurs dans un environnement d’information doit déclencher une alerte de sécurité maximale.
Risques opérationnels et financiers
Les conséquences d’une compromission réussie par le « Phishing en cascade » sont multiples et sévères. Pour l’entreprise victime dont la boîte mail est à l’origine de l’envoi, l’image d’un système d’information mal sécurisé est projetée, mettant en danger ses partenaires. Les impacts opérationnels peuvent être majeurs ; par exemple, le domaine de l’entreprise compromise peut être bloqué à cause des signalements, paralysant toute la messagerie professionnelle, avec des cas observés où un chef d’entreprise n’a pas pu travailler pendant deux jours, révèle l’APSI-CI.
La cellule ajoute que l’impact le plus grave reste la fuite de données sensibles et la violation de confidentialité, car la compromission du compte donne à l’attaquant un accès total à tous les documents stockés dans le cloud en plus des échanges de mail.
Enfin, l’attaque peut mener à une perte d’argent directe due à une fraude ciblée, comme cela a pu être constaté.
Mitigation
Face à la sophistication de cette menace, l’APSI-CI exhorte les organisations à prendre des mesures de sécurité immédiates et robustes. Premièrement, le renforcement de l’authentification est crucial : l’activation de l’authentification double facteur (MFA/2FA) est obligatoire pour tous les utilisateurs.
Deuxièmement, une sensibilisation accrue doit être menée immédiatement auprès des utilisateurs, en particulier le personnel commercial et les équipes traitant les appels d’offres. Les bons réflexes incluent le survol des liens pour vérifier les URL réelles et une vigilance extrême en cas de courriel inattendu ou hors contexte.
Troisièmement, en plus de la vérification des logs pour les indicateurs susmentionnés, les organisations doivent déployer une solution robuste de protection de la messagerie professionnelle pour marquer les courriels suspects avec une mention d’alerte de phishing.
Enfin, si une compromission est suspectée, la réponse à incident doit être immédiate : « Changez immédiatement tous les mots de passe des utilisateurs concernés et activez l’authentification double facteur s’il n’est pas déjà en place », conclut l’APSI-CI.
