Des attaques par des clients HTTP en pleine évolution : 78% des utilisateurs de Microsoft 365 ciblés en 2024

Les clients HTTP, ces outils indispensables pour envoyer et recevoir des requêtes sur le web, sont devenus de redoutables armes entre les mains des cybercriminels pour s’approprier des comptes. Un rapport récent de Proofpoint révèle qu’au cours de la seconde moitié de 2024, 78 % des utilisateurs de Microsoft 365 ont subi au moins une tentative de prise de contrôle de leur compte via ces applications.

Outils accessibles aux attaquants

Des outils comme OkHttp, Axios ou Node Fetch sont largement utilisés par les développeurs pour réaliser des tests et gérer des connexions avec les serveurs. Cependant, ces même instruments ont été détournés par des acteurs malveillants, qui les réutilisent à partir de dépôts publics pour mener des attaques par force brute et des attaques « adversaire au milieu » (AiTM).

Depuis 2018, ces techniques ont évolué, et en 2024, une diversité croissante de clients HTTP a été identifiée. Alors qu’OkHttp dominait les premiers mois de l’année, mars a montré une utilisation accrue d’alternatives telles qu’Axios et Node Fetch, facilitant des attaques à grande vitesse contre les comptes cloud.

Attaques sophistiquées avec un taux de réussite élevé

Bien que la majorité des tentatives de prise de contrôle des comptes via des clients HTTP soient des attaques par force brute avec des taux de réussite faibles, Proofpoint a mis en lumière des campagnes particulièrement efficaces. Un exemple marquant est celui du client Axios, dont l’utilisation conjointe avec des techniques AiTM a atteint un taux de réussite mensuel de 38 %. Cet outil est en mesure d’intercepter, transformer et annuler le trafic, facilitant ainsi le vol de crédentiels et de jetons d’accès.

Les cibles principales de ces attaques incluent des cadre supérieurs, des responsables financiers, ainsi que des personnels opérationnels dans des secteurs stratégiques tels que le transport, la construction, les finances, l’informatique et la santé. Selon le rapport, entre juin et novembre 2024, plus de 51 % des organisations ciblées ont été attaquées, avec 43 % de comptes compromis.

Évolution et tendances des attaques par clients HTTP

Ces derniers mois, les cybercriminels ont perfectionné leurs tactiques, intégrant des infrastructures distribuées et des réseaux d’IP piratées pour réduire leur exposition et éviter d’être détectés. Une campagne massive de force brute, utilisant Node Fetch, caractérisée par sa rapidité, a été identifiée, avec plus de 13 millions de tentatives de connexion frauduleuses enregistrées depuis juin 2024, soit une moyenne de 66 000 tentatives par jour.

De plus, en août 2024, une variante basée sur Go Resty, un client HTTP pour Go, a permis des attaques encore plus diversifiées. Toutefois, cette tactique a diminué en octobre, tandis que les attaques avec Node Fetch demeurent actives.

Défis et mesures de mitigation

Face à cette situation, des experts en cybersécurité avertissent que les attaquants continueront à adapter leurs stratégies et leurs outils pour accroître l’efficacité de leurs attaques et contourner les systèmes de défense. Les chercheurs de Proofpoint recommandent de renforcer les mesures d’authentification multifactorielle, de surveiller les modèles d’accès suspects et de bloquer l’utilisation de clients HTTP dans des environnements sensibles.

L’évolution des attaques par clients HTTP démontre que les cybercriminels continuent à innover dans leurs méthodes. Grâce à un mélange d’outils légitimes et de stratégies avancées, les organisations doivent rester vigilantes pour protéger leurs systèmes et leurs données face à ces menaces en constante évolution.

Source : ProofPoint