Un groupe d’attaquants a compromis des comptes sur la plateforme de livraison de courrier électronique SendGrid et les utilise pour lancer des attaques de phishing contre d’autres clients SendGrid. La campagne est probablement une tentative de collecte d’informations d’identification pour un service de messagerie de masse jouissant d’une bonne réputation, qui aiderait les attaquants à contourner les filtres anti-spam lors d’autres attaques.
« La campagne observée utilise une variété de leurres complexes, comme prétendre que le compte de la victime a été suspendu pendant que ses pratiques d’envoi sont revues ou que le compte de la victime est marqué pour suppression en raison d’un échec de paiement récent, combinés avec d’autres fonctionnalités SendGrid pour masquer le destination réelle de tout lien malveillant », ont déclaré des chercheurs de la société de renseignement sur les menaces Netcraft dans un nouveau rapport.
SendGrid est une plate-forme de livraison d’e-mails basée sur le cloud appartenant à Twilio. Il aide les entreprises à mener des campagnes de marketing par e-mail à grande échelle avec un taux de délivrabilité et des analyses élevés. La société prétend avoir plus de 80 000 clients, dont des marques populaires comme Uber, Spotify, AirBnB et Yelp. « Même les entreprises légitimes ayant parfois du mal à envoyer des e-mails dans les boîtes de réception des utilisateurs, il est facile de comprendre à quel point l’utilisation de SendGrid pour des campagnes de phishing est attrayante pour les criminels », ont déclaré les chercheurs de Netcraft.
Liens de phishing masqués par la fonction de suivi des clics
Les e-mails de phishing se faisant passer pour des notifications SendGrind ont été envoyés via les serveurs SMTP SendGrind, mais les adresses e-mail dans leur champ De provenaient d’autres domaines, pas de sendgrid.com. En effet, les attaquants ont utilisé les noms de domaine que les clients SendGrid compromis avaient configurés pour pouvoir envoyer des e-mails via la plateforme pour leurs propres campagnes.
Netcraft a observé au moins neuf de ces domaines appartenant à des entreprises de divers secteurs, notamment l’hébergement cloud, l’énergie, la santé, l’éducation, l’immobilier, le recrutement et l’édition. Étant donné que ces domaines avaient été configurés pour utiliser SendGrid pour la livraison des e-mails, les e-mails de phishing ont transmis toutes les fonctionnalités de sécurité anti-usurpation habituelles telles que DKIM et SPF, car ces domaines avaient configuré les politiques DNS appropriées. « L’utilisation de comptes SendGrid compromis explique pourquoi SendGrid est ciblé par la campagne de phishing : les criminels peuvent utiliser les comptes compromis pour compromettre d’autres comptes SendGrid au cours d’un cycle, leur fournissant ainsi un approvisionnement constant en nouveaux comptes SendGrid », ont déclaré les chercheurs de Netcraft.
Hormis les adresses suspectes dans le champ De, il n’y a rien d’autre qui puisse faire en sorte que les e-mails malveillants semblent non authentiques au destinataire. Le lien derrière le bouton inclus dans l’e-mail est masqué à l’aide de la fonction de suivi des clics de SendGrid. Cela signifie que l’URL pointe vers un script hébergé sur sendgrid.net, qui effectue ensuite une redirection vers la page de phishing créée par les attaquants. Cependant, l’URL de la page de phishing est transmise au script SendGrid en tant que paramètre codé afin qu’elle ne soit pas visible par l’utilisateur sous forme de texte clair lorsqu’il survole le bouton.
Pages de phishing sans serveur avec vérifications de compte en temps réel
La page de phishing elle-même est également hébergée à l’aide de JSPen, un outil qui permet de générer des pages Web entières à la volée dans le navigateur en fonction du code transmis sous forme de fragment d’URL après le caractère #. Celles-ci sont également appelées pages Web sans serveur. Dans ce cas, le fragment d’URL JSPen contient un élément
Si tel est le cas, il demande ensuite à l’API SendGrid d’envoyer un code d’authentification à deux facteurs au téléphone de l’utilisateur et affiche un champ d’authentification à deux facteurs sur le thème de SendGrid sur la page. Lorsque le code est saisi, le script vérifie à nouveau s’il est valide et renvoie une erreur si ce n’est pas le cas.
Cette technique consistant à valider les informations d’identification et les codes 2FA en temps réel et à renvoyer une erreur s’ils ne fonctionnent pas rend plus difficile pour les utilisateurs de tester s’il s’agit d’une fausse page. Bien sûr, ils peuvent toujours vérifier l’URL et se rendre compte qu’ils ne se trouvent pas sur un domaine SendGrid.
La page JSPen et le fichier JavaScript malveillant hébergé sur Azure ne sont plus disponibles pour le moment, mais les chercheurs de Netcraft soulignent que les attaquants pourraient facilement envoyer des e-mails de phishing au nom des clients compromis en utilisant leurs domaines légitimes et d’autres leurres qui ne se font pas passer pour eux. EnvoyerGrid.
« Twilio SendGrid prend très au sérieux les abus de sa plate-forme et de ses services », a déclaré un porte-parole de Twilio au CSO. « Il est toujours regrettable qu’un individu ou une organisation soit victime d’une attaque de phishing. Nous sommes conscients que de mauvais acteurs ont utilisé notre plateforme pour lancer des attaques de phishing. Nos équipes chargées de la fraude, de la conformité et de la sécurité travaillent avec diligence pour garantir que ces acteurs malveillants soient immédiatement arrêtés.