Essai gratuit
Obtenez l'accès complet
Connexion

Pleins feux sur les menaces : marchés de télégrammes illicites et robots OTP

Picture of Flare
Flare
  • Reading time: 4 min

Préface

Le paysage des menaces évolue rapidement. Les acteurs de la menace qui achetaient et vendaient traditionnellement des logiciels malveillants, des identifiants de connexion et des informations sensibles sur les marchés trouvés sur TOR (The Onion Router) quittent de plus en plus le « dark web » pour passer à des sites Web clairs et à des plateformes de messagerie instantanée telles que Discord et Telegram. . Dans l'actualité des menaces, nous allons nous plonger dans le monde des canaux Telegram illicites et plus particulièrement dans la montée en puissance des bots OTP (mot de passe à usage unique). 

Les détails

Pourquoi les Threat Actors quittent-ils le Dark Web ?

Pour comprendre pourquoi les acteurs de la menace quittent le dark web, il est utile de comprendre initialement pourquoi ils ont choisi d'utiliser TOR à l'origine. TOR a commencé comme un produit du US Naval Research Laboratory et, comme Internet, s'est rapidement développé bien au-delà de son objectif initial. TOR permet une navigation presque entièrement anonyme et l'hébergement de sites Web avec des URL se terminant par .onion. Le trafic est acheminé via des nœuds hébergés à l'échelle mondiale, sautant généralement entre plusieurs nœuds avant d'arriver à la destination prévue, le trafic ne quittant jamais le réseau.

Cela garantit un degré élevé d'anonymat, mais entraîne également incroyablement des vitesses lentes, les pages .onion prenant souvent plus d'une minute à se charger. De plus, les chargements et téléchargements de fichiers volumineux peuvent prendre des jours, voire des semaines, selon la taille du fichier. Les informations publiées sur les marchés et les forums du dark web sont également essentiellement permanentes, étant donné que des dizaines de sociétés de sécurité surveillent et archivent en permanence le dark web en plus des agences gouvernementales du monde entier.

Les canaux de messagerie des médias sociaux ne présentent presque aucun de ces inconvénients. Ils sont conçus pour être consommables, rapides comme l'éclair, et lorsqu'un canal est découvert comme étant infiltré par les forces de l'ordre ou les organisations de sécurité, un nouveau peut être créé en quelques secondes. Nous pensons également que même si les données sont archivées, elles peuvent ressentir plus anonyme et moins permanente que la publication de fichiers ou d'informations sur le dark web, d'autant plus que les données peuvent être configurées pour être automatiquement supprimées après un certain temps. 

Quel type de contenu malveillant peut-on trouver sur les applications Web claires/de messagerie instantanée ?

Presque tout ce qui peut être trouvé sur un marché traditionnel du dark web peut également être trouvé sur des canaux d'application de messagerie instantanée illicites. Les comptes bancaires, les informations d'identification volées, les bots de mots de passe à usage unique, les chèques falsifiés et même les appareils infectés peuvent être facilement achetés via Telegram, de nombreux marchés visant à rendre les transactions et l'utilisation des informations volées aussi simples que possible. Aujourd'hui, nous allons nous concentrer sur la montée en puissance des bots OTP pour contourner les contrôles 2FA et MFA. 

Bots de mot de passe à usage unique

Les robots de mot de passe à usage unique (bots OTP) sont essentiellement une méthode permettant aux acteurs de la menace de tenter de collecter à grande échelle les codes 2FA des victimes. Une recherche dans environ 100 salons de discussion Telegram illicites depuis le début de 2022 pour les termes «OTP Bot» et «2FA Bot» a renvoyé plus de 1700 résultats. Pour le contexte, la recherche dans les mêmes salons de discussion pour "vbv" renvoie 2500 résultats, "fullz" renvoie 50,000 2 et "no3300fa" donne XNUMX résultats. De nombreux résultats concernant les robots OTP affichent une activité aussi récente que quelques minutes après la requête, confirmant qu'il existe une demande active et des discussions sur le service. En fait, les acteurs malveillants semblent souvent acheter l'accès aux connexions aux comptes bancaires, puis se renseigner sur la disponibilité des robots OTP dans divers salons de discussion Telegram axés sur la fraude.  

L'anatomie d'un bot OTP

Les bots OTP sont conçus et vendus avec des organisations spécifiques à l'esprit. Une fois qu'un acteur de la menace dispose des informations d'identification de connexion à une banque, à un environnement informatique d'entreprise ou à un autre service, il peut acheter un bot OTP qui enverra à la victime un message vocal/texte de phishing contenant à peu près le message suivant (adapté au compte que l'acteur de la menace essaie de s'introduire):

"Bonjour c'est Scatterholt mondial appelant pour vérifier votre identité, nous venons de vous envoyer un code d'accès unique sur votre téléphone, veuillez répondre à notre texte avec le mot de passe pour confirmer votre identité "

La voix/le texte sera entièrement automatisé et généralement le numéro sera usurpé pour donner l'impression que l'appel automatisé provient légitimement de l'organisation dont ils prétendent provenir. 

Pourquoi c'est important pour les équipes de sécurité

Les bots OTP sont souvent utilisés pour faciliter la fraude financière personnelle plutôt que celle des entreprises, mais les attaques d'entreprise sont une autre application facile de la technique que nous avons vue. Il n'est pas difficile d'imaginer un scénario dans lequel une violation de données expose des centaines de connexions d'entreprise, qu'un acteur malveillant trouve ensuite les numéros de téléphone des victimes à l'aide d'OSINT et exploite pour solliciter des mots de passe à usage unique et contourner les contrôles d'authentification à deux facteurs. Nous avons déjà vu ce TTP utilisé dans le Violation de Cisco, et il est probable qu'une méthode similaire ait été utilisée lors de la récente attaque contre Uber. 

Comment Flare peut vous aider

Flare automatise la surveillance sur des centaines de canaux de télégrammes illicites, y compris ceux où les bots OTP sont vendus. Les clients sont autorisés à saisir un « identifiant » (terme de recherche automatisé) et Flare explorera le Web sombre, le Web clair et les communautés illicites trouvées sur les applications de messagerie instantanée et renverra une liste prioritaire des instances où ce terme de recherche est apparu. Flare permet aux entreprises d'automatiser la surveillance pour :

  • OTP Bots ciblant leur organisation
  • Marchés d'appareils infectés
  • Identifiants volés

Et des dizaines d'autres menaces allant des fuites de données aux secrets divulgués sur Github. Demande de démo pour plus d'information. 

Partager cet article
Afficher les messages

Flare

Contenu similaire

Using CTI to Help Predict Vulnerability Exploitability

En savoir plus
, ,

AlphaLock, Threat Actor Branding, and the World of Cybercrime Marketing

En savoir plus

Ransomware in Context: 2024, A Year of Tumultuous Change

En savoir plus

« Ce qui prenait environ 1500 heures peut désormais être réalisé en une semaine. Flare me permet d'habiliter des analystes débutants à mener des enquêtes sur le Web clandestin qui étaient auparavant impossibles, libérant ainsi de la bande passante. »

Spécialiste principal en cybersécurité chez un prestataire de services en gestion des cybermenaces (MSSP)

« D'autres solutions nous auraient présenté des milliers de fuites potentielles avec lesquelles il était impossible de travailler pour notre petite équipe. Flare était le seul à pouvoir filtrer et prioriser avec succès les fuites de données avec leur système de notation à 5 points. »

Directeur du renseignement sur les cybermenaces (CTI) dans une grande banque nord-américaine

« Flare nous permet de réagir rapidement lorsque des cybermenaces sont rendues publiques, ce qui nous aide à protéger notre marque et nos ressources financières contre les brèches de données. »

Responsable de la sécurité des systèmes d'information (RSSI) dans une grande banque nord-américaine

« Nous avons audité des dizaines de solutions différentes et Flare était le seul à rendre le renseignement sur les cybermenaces facile et compréhensible pour tous, avec les bonnes données. »

Conseiller cadre dans une entreprise de technologies de l'information

Commencez votre essai gratuit dès aujourd'hui

Faites l'expérience de Flare par vous-même et découvrez pourquoi Flare est utilisé par des organisations telles que des agences de sécurité publique, des sociétés du Fortune's 50, des institutions financières et des jeunes entreprises.

COMMENCEZ L'ESSAI GRATUIT
Flare logo
Démo
Essai gratuit
LinkedIn Twitter Facebook Youtube
Droits d'auteur 2024 Flare Systems, Inc.
1751 Rue Richardson, Unité 3.108, Montréal, Québec, H3K 1G6

Siège social de Flare

société de cybersécurité soc 2
Flare logo
Essai gratuit
Obtenez l'accès complet
Connexion