Un nouveau kit de phishing sophistiqué, baptisé Astaroth, parvient à contourner l'authentification à deux facteurs des comptes Gmail, Microsoft et Yahoo. Les experts cyber lancent l'alerte à son sujet.

Gmail, Microsoft 365, Yahoo et AOL font partie des services visés par le kit © Alexandre Boero / Clubic
Gmail, Microsoft 365, Yahoo et AOL font partie des services visés par le kit © Alexandre Boero / Clubic

L'émergence d'Astaroth, un outil de phishing commercialisé à 2 000 dollars sur Telegram, inquiète à juste titre les professionnels de la cybersécurité. Découvert par les chercheurs de SlashNext, il se démarque par sa capacité à intercepter en temps réel toutes les données d'authentification, y compris les codes 2FA, tout en restant pratiquement indétectable. Le kit inclue carrément un hébergement sécurisé, six mois de support technique et de mises à jour.

Une attaque de phishing indétectable qui piège les internautes sur la double authentification

Astaroth se distingue des kits de phishing traditionnels par son approche basée sur un proxy inversé de type evilginx. Concrètement, lorsqu'un utilisateur clique sur un lien malveillant, il est redirigé vers un serveur pirate qui reproduit fidèlement l'apparence du site légitime, certificats SSL compris. Cette configuration permet au pirate de s'intercaler entre la victime et le véritable service, pour capturer l'ensemble des échanges.

Un exemple de ce que verraient la victime et l'agresseur © SlashNext
Un exemple de ce que verraient la victime et l'agresseur © SlashNext

L'interface de contrôle d'Astaroth offre aux cybercriminels un tableau de bord sophistiqué. Imaginez que chaque tentative de connexion est méticuleusement documentée dans des colonnes dédiées : « Phishlet », « Username »,  « Password », « User Agent », « Remote Addr » et « Tokens ». Le système alerte instantanément le pirate sur Telegram, dès qu'un nouveau jeton d'authentification est intercepté. Derrière, le hacker peut immédiatement exploiter les comptes compromis.

Le panneau Web de l'attaquant qui stocke les informations de session © SlashNext

Le kit cible principalement Gmail, Microsoft 365, Yahoo et AOL, comme le révèle SlashNext. Il intègre des fonctionnalités avancées pour contourner les protections anti-bots, la détection des navigateurs headless (des navigateurs sans interface graphique) et même le système reCAPTCHA de Google. Un arsenal complet qui, selon son vendeur, garantit un taux de réussite particulièrement élevé.

Le vendeur partage des informations sur le test du kit de phishing © SlashNext

Les nouvelles recommandations pour protéger vos comptes en ligne

Les chercheurs en sécurité s'alarment de la sophistication de cet outil vendu avec un véritable service après-vente. Car même les utilisateurs les plus avertis peuvent être piégés. « Toutes les défenses habituelles et les éléments de vérification que nous enseignons aux utilisateurs sont plus difficiles à repérer avec cette attaque », explique Thomas Richards, un spécialiste de Black Duck, une entreprise de solutions de sécurité applicative.

L'infrastructure d'Astaroth repose sur des hébergeurs dits « bulletproof », qui sont connus pour leur résistance aux demandes des forces de l'ordre. Les États-Unis et l'Union européenne ont d'ailleurs récemment poussé à imposer des sanctions contre les pays qui accueillent ces fournisseurs d'hébergement peu scrupuleux. Si l'intention est louable, son impact sera limité, car hélas, le kit est déjà largement diffusé sur les forums criminels.

Alors pour éviter de se faire piéger, les experts recommandent des mesures de protection renforcées. Outre l'évitement systématique des liens reçus par e-mail, ils conseillent vivement l'adoption de clés de sécurité physiques comme YubiKey ou Google Titan, plus résistantes aux interceptions que les codes SMS, comme nous l'explique David Legeay. Ne perdez plus de temps pour vous protéger.