Mailchimp piraté pour lancer une attaque « exceptionnelle » sur la chaîne d’approvisionnement
Le fournisseur de marketing par e-mail Mailchimp a confirmé hier que les employés avaient été victimes d’une attaque d’ingénierie sociale qui permettait aux pirates d’envoyer des e-mails de phishing prétendant provenir de la société de portefeuille Bitcoin Trezor à ses clients. L’attaque sophistiquée révèle la combinaison d’attaques d’ingénierie sociale et de chaîne d’approvisionnement que les groupes de piratage utilisent dans leurs campagnes, ont déclaré des experts Moniteur technique.
Confirmant la violation du jour au lendemain, Mailchimp a déclaré que certains de ses employés avaient été victimes d’une attaque d’ingénierie sociale, qui avait entraîné le vol des informations d’identification des employés. Ceux-ci ont été utilisés pour accéder à 100 listes de diffusion Mailchimp. Le CISO de l’entreprise, Siobhan Smith, a déclaré que l’équipe de sécurité de Mailchimps était au courant de la violation depuis deux semaines. Pour l’instant, aucun groupe de piratage n’a publiquement revendiqué l’attaque.
Le 26 mars, notre équipe de sécurité a pris connaissance d’un acteur malveillant accédant à l’un de nos outils internes utilisés par les équipes en contact avec les clients pour le support client et l’administration des comptes, a déclaré Mailchimp. L’incident a été propagé par un acteur externe qui a mené avec succès une attaque d’ingénierie sociale contre les employés de Mailchimp, ce qui a compromis les informations d’identification des employés.
Les pirates ont également eu accès à un nombre non divulgué de clés d’interface de programmation d’application (API), qui permettent aux clients de Mailchimp de gérer leurs comptes et d’effectuer des campagnes de marketing à partir de leurs propres sites Web. De là, ils ont pu lancer des attaques sur la chaîne d’approvisionnement.
La violation de Mailchimp mène à l’attaque de la chaîne d’approvisionnement de Trezor
Une victime confirmée est Trezor, qui fabrique des portefeuilles Bitcoin. Un e-mail de phishing envoyé aux victimes affirmait que la société de stockage cryptographique avait subi un incident de sécurité impliquant des données appartenant à 106 856 de [its] clients et que la sécurité de leurs portefeuilles avait été compromise. Ceux qui ont suivi les invites ont téléchargé ce qu’on leur a dit être la dernière version de la suite Trezor pour configurer un nouveau code PIN.
@Trezor AVERTISSEMENT : Attaque de phishing élaborée.
Ce matin, j’ai reçu ce message à mes DEUX adresses e-mail. En surface, cela ressemble à un message authentique, mais j’ai remarqué qu’il provenait de https://t.co/6T8nY84R6A et, en tant que tel, je l’ai supprimé immédiatement. Vous voudrez peut-être avertir tout le monde. pic.twitter.com/BQSB2uV1JW
Contenu de nos partenaires
La vie en DeFi (@lifeindefi) 3 avril 2022
L’application vers laquelle les victimes ont été dirigées est une copie de la véritable application Trezor qui invite les clients à connecter leur portefeuille et à entrer leur graine de récupération, une série de mots générés par le portefeuille crypto qui donne un accès d’urgence à leur contenu numérique, à la victime puis aux acteurs de la menace.
C’était probablement le point central de l’attaque, explique Hugh Raynor, consultant senior en cybersécurité chez SureCloud. Si votre portefeuille matériel tombe en panne ou que vous le perdez, vous avez cette graine de récupération, qui vous donnera un accès complet au compte, au portefeuille, aux mots de passe, à toutes ces données.
Trezor a déclaré que l’attaque était exceptionnelle dans sa sophistication et était clairement planifiée avec un haut niveau de détail. Dans un article de blog, il a déclaré que l’application de phishing est une version clonée de Trezor Suite avec des fonctionnalités très réalistes, et comprenait également une version Web de l’application. Trezor a depuis fait prendre les domaines de phishing hors ligne et désactivé les clés API concernéesmais il est probable que de nombreux clients se soient fait voler des informations personnelles par les pirates.
Lancer une attaque de la chaîne d’approvisionnement comme celle-ci était probablement l’objectif des acteurs de la menace à l’origine de l’attaque, explique Raynor. Évidemment, c’est très ciblé, dit-il. Ils ont planifié dès le départ exactement ce que toutes les phases vont être. Ils savent qu’ils ont besoin d’ingénierie sociale des employés et des services clients de Mailchimp, et à partir de là, ils pourraient rechercher les clés API pour les sociétés de cryptographie.
La tendance croissante des attaques d’ingénierie sociale
L’attaque Mailchimp et la violation de la chaîne d’approvisionnement qui a suivi sont révélatrices d’une tendance actuelle à l’ingénierie sociale, explique David Mahdi, directeur de la stratégie et conseiller CISO de la société de cybersécurité Sectigo. L’ingénierie sociale est extrêmement importante pour de nombreuses campagnes de piratage actuelles, car en réalité, elles se résument toutes à une seule chose, l’accès aux données et la sécurité de l’identité, dit-il.
Les attaquants déploient désormais une variété croissante de tactiques, telles que les attaques de la chaîne d’approvisionnement et l’ingénierie sociale, pour cibler les problèmes organisationnels inhérents au travail hybride, à l’erreur humaine et à l’informatique fantôme, explique Mahdi.
La sécurité améliorée déployée par de nombreuses entreprises signifie que les attaques d’ingénierie sociale sont plus attrayantes pour les gangs criminels, affirme Raynor. Les attaquants commencent à dépendre des gens parce que ces dernières années, la technologie, la détection de sécurité et les contrôles de surveillance sont tous devenus vraiment bons, dit-il. Mais les gens sont toujours les mêmes qu’il y a 2000 ans. Les agresseurs ont dû passer à l’exploitation de la personne.