Les hackers contournent les couches de transport pour des spams via IMAP

Vade a détecté une vague d’emails de spam directement déposés sur les messageries sans passer par la couche de transport. La vague, qui à son pic a atteint 300 000 messages envoyés en une journée à un seul client, a été détectée dans toute l’Europe, dont la France, Danemark, États-Unis et Italie.

Fonctionnement

Les experts de Vade soupçonnent les cybercriminels d’utiliser un nouvel outil, Email Appender, pour se connecter directement aux comptes de messagerie compromis via IMAP. Disponible sur le dark web, Email Appender permet aux cybercriminels de valider des identifiants d’un compte compromis, de configurer un proxy pour contourner la détection d’IP, de rédiger des emails malveillants et de déposer le spam sur le compte d’utilisateur compromis.

hacker

Email Appender a été identifié pour la première fois par Gemini Advisory en octobre 2020. Son interface permet au hacker de personnaliser l’email, notamment par la modification de l’adresse affichée de l’expéditeur et la création d’une adresse de réponse. Les identifiants du compte compromis sont généralement achetés sur le dark web puis validés par un outil tel qu’Email Appender pour se connecter au compte d’utilisateur via IMAP.

Voici un exemple en situation réelle pour comprendre en quoi consiste l’action de « déposer » un email en contournant la couche transport :

  • Vous créez un brouillon dans un email client.
  • Vous glissez-déposez le fichier .EML dans un dossier sur votre ordinateur.
  • Vous vous connectez à votre compte Microsoft Outlook en ligne.
  • Vous glissez-déposez le fichier .EML dans Outlook.

L’email ne passe donc jamais par les dispositifs de sécurité de Microsoft. Il est déposé.

La résolution de la situation actuelle consiste à clôturer les comptes compromis et à réinitialiser les identifiants de compte compromis. Pour cela, l’utilisateur doit directement contacter son IPS, ce qui a un coût. Un appel d’assistance IPS coûte en moyenne entre 20 et 70 €.

La récente possibilité d’un abonnement à Email Appender est un signe avant-coureur des risques posés par une plate-forme de services cybercriminels. Le Ransomware-as-a-service (RaaS) est une offre qui permet à toute une génération de cybercriminels peu expérimentés de monter des attaques réussies. Si Email Appender, ou autres outils similaires, continuent de produire ce genre de résultats prometteurs, ils pourraient être adoptés en masse par la communauté cybercriminelle.

Une tendance émergente

Si cette dernière menace concerne principalement les spams, nous prédisons une sophistication des techniques des hackers qui se tourneront vers des menaces plus avancées, comme le phishing et les malwares. Les spams sont faciles à créer, en plus d’être économiques, alors que le phishing et les malwares exigent des méthodes et outils plus élaborés pour fonctionner.

Nous avons observé par le passé que les hackers testent d’abord leurs techniques sur le marché des consommateurs, à travers les FAI, avant de s’attaquer au marché professionnel.

Cela peut s’expliquer de deux manières : La première raison est que les entreprises disposent de solutions de sécurité plus élaborées. La seconde est que les utilisateurs professionnels sont mieux formés et donc moins exposés aux arnaques d’amateurs. C’est pourquoi le hacker doit tester et s’adapter pour perfectionner ses techniques.

Si cette menace venait à évoluer en phishing, en compromission d’email professionnel ou en malware, alors une plate-forme telle que Microsoft 365 offrirait une cible de choix. La plupart des solutions de sécurité de l’email pour Microsoft 365 ne sont pas intégrées à la plate-forme via une API mais installées en dehors de Microsoft. Ainsi, outre le fait qu’elles ne scannent pas les emails internes de Microsoft 365 à la recherche de menaces venues de l’intérieur, elles ne peuvent pas non plus entreprendre d’action concernant des emails malveillants une fois qu’ils ont été délivrés.

Protéger votre société

L’authentification à deux facteurs (2FA) n’empêchera pas un hacker de se connecter à une adresse compromise via IMAP. Si un utilisateur a activé la 2FA, il peut toutefois recevoir une alerte de connexion et contacter son ISP pour réinitialiser ses identifiants. Seul problème : la 2FA n’est malheureusement pas obligatoire, et de nombreux consommateurs négligent d’activer ce service.

La méthode IMAP est un argument de poids contre la défense périmétrique, désormais dépassée, et en faveur d’une approche basée sur une API. En effet, les solutions de sécurité périmétriques sont installées à l’extérieur et n’ont qu’une seule occasion d’intercepter la menace. Une solution basée sur une API agit quant à elle en interne et peut scanner les messageries de manière continue.

L’approche API permet de scanner les emails internes et d’apporter une correction après livraison. Lorsque la méthode IMAP arrivera sur le marché professionnel, les entreprises devront y être préparées en se munissant d’une solution capable d’agir en interne contre les menaces détectées.