Language
Une campagne de phishing a exploité une faille de Salesforce pour attaquer les utilisateurs de Facebook
MaisonMaison > Nouvelles > Une campagne de phishing a exploité une faille de Salesforce pour attaquer les utilisateurs de Facebook
DERNIÈRES NOUVELLES

Une campagne de phishing a exploité une faille de Salesforce pour attaquer les utilisateurs de Facebook

Oct 31, 2023

Accueil » Security Boulevard (Original) » Une campagne de phishing a exploité une faille de Salesforce pour attaquer les utilisateurs de Facebook

Des acteurs malveillants inconnus ont mené une campagne de phishing sophistiquée exploitant une faille zero-day dans les services de messagerie de Salesforce, permettant aux pirates de se cacher derrière la légitimité du géant du cloud tout en essayant de voler des informations sur les comptes Facebook.

En exploitant une vulnérabilité que les chercheurs de Guardio Labs ont surnommée « PhishForce », les attaquants ont créé des e-mails qui semblaient provenir de la société mère de Facebook, Meta, et incluaient le domaine « @salesforce.com », leur permettant ainsi de contourner les protections de sécurité traditionnelles telles que les passerelles et les filtres.

Les noms Meta et Salesforce donnent au message un air de fiabilité et l'utilisateur ciblé peut être plus susceptible de cliquer sur l'e-mail.

"Il est donc évident que nous avons vu cet e-mail échapper aux mécanismes traditionnels anti-spam et anti-phishing", ont écrit les chercheurs de Guardio Labs, Oleg Zaytsev et Nati Tal, dans un rapport. "Il comprend des liens légitimes (vers Facebook.com) et est envoyé à partir d'une adresse e-mail légitime de @salesforce.com, l'un des principaux fournisseurs mondiaux de CRM [de gestion de la relation client]."

Les services de passerelle de messagerie, comme le service Salesforce abusé dans cette campagne, envoient régulièrement un nombre massif d'e-mails pour tout, des présentations de produits aux publicités. Cela aide les acteurs malveillants qui envoient des e-mails malveillants via de tels services légitimes, en leur donnant « non seulement du volume, mais également un accès à la réputation de ces passerelles, en plaçant généralement leurs adresses IP et leurs domaines sur la liste blanche d'une organisation ou même à l'échelle du réseau », ont écrit les chercheurs. .

L'e-mail de phishing parvenu dans la boîte aux lettres de la cible mentionnait son nom, lui indiquant que son compte Facebook faisait l'objet d'une enquête en raison de « soupçons d'usurpation d'identité » et incorporait une boîte bleue en bas de la page sur laquelle l'utilisateur pouvait cliquer. "demander un examen."

Cela les a envoyés vers une page de destination hébergée en tant que jeu sur la plate-forme d'applications de Facebook et utilisant le domaine apps.facebook.com. C'est une autre étape pour convaincre l'utilisateur de la légitimité de l'e-mail. C'est ici que les attaquants volent les informations d'identification du compte Facebook et les informations d'authentification à deux facteurs (2FA).

La fonctionnalité Email Gateway de Salesforce fait partie de son système CRM plus vaste et permet aux clients d'envoyer des notifications et des messages en masse par e-mail. Avant que quoi que ce soit ne soit envoyé, Salesforce demande aux clients de se valider en vérifiant une adresse e-mail pour s'assurer qu'ils possèdent le nom de domaine sous lequel leurs messages de masse sont envoyés.

"Il suffit de cliquer sur le lien de vérification envoyé dans la boîte de réception de votre choix pour donner au backend Salesforce la permission de configurer les e-mails sortants en conséquence", ont écrit Zaytsev et Tal.

Cela dit, les chercheurs n'ont pas été en mesure de découvrir au départ comment les pirates informatiques pouvaient contourner les fonctionnalités de sécurité qui rendaient très difficile l'envoi d'un e-mail de vérification par le service de messagerie Salesforce. Ils ont découvert que les attaquants étaient capables de manipuler la fonctionnalité Email-to-Case de Salesforce, que les entreprises utilisent pour convertir automatiquement les e-mails entrants en tickets exploitables pour leurs équipes d'assistance.

Les chercheurs ont déclaré qu'il s'agissait d'une fonctionnalité courante utilisée uniquement pour les e-mails entrants, mais que les pirates ont pu envoyer des messages en utilisant l'adresse exacte. Ils ont pris le contrôle d'une adresse e-mail générée par Salesforce en créant un nouveau flux E-mail vers requête, puis l'ont vérifiée en tant qu'« adresse e-mail à l'échelle de l'organisation », avec la passerelle de courrier de masse de Salesforce en utilisant l'adresse dans le flux sortant officiel. Les pirates ont ensuite utilisé cette adresse pour vérifier la propriété du nom de domaine.

Une fois la vérification en main, ils pourraient utiliser l'adresse e-mail Salesforce pour envoyer des messages contournant d'autres protections anti-phishing et anti-spam.

Saeed Abbasi, responsable de la recherche sur les vulnérabilités et les menaces chez la société de cybersécurité Qualys, a déclaré à Security Boulevard que l'attaque "n'était pas une simple arnaque par courrier électronique mais un entrelacement complexe de vulnérabilités sur plusieurs plates-formes et services".