Pages de destination des miroirs de menaces de phishing de type APT – Systeme io

Pages de destination des miroirs de menaces de phishing de type APT – Systeme io


Une campagne de phishing est en cours et utilise des images miroir des pages de destination des organisations cibles pour inciter les victimes à saisir leurs identifiants de connexion.

Selon un rapport de la société de sécurité Avanan, les acteurs malveillants sont alors en mesure d’utiliser ces informations d’identification récoltées pour accéder à un trésor de fichiers personnels ou d’entreprise, et accéder à d’autres applications et à d’autres endroits du réseau.

Le flux d’attaque commence par des e-mails indiquant aux cibles qu’il est temps de mettre à jour leurs mots de passe, avec un bouton sur lequel cliquer. Cela les amène à une page de phishing qui semble être le domaine Google de l’organisation, avec une adresse e-mail pré-remplie et un formulaire Google reCAPTCHA, ajoutant encore plus au placage d’authenticité.

Voici la partie intéressante : la page de destination est rendue dynamiquement, de sorte qu’elle modifie le logo et l’arrière-plan présentés pour correspondre au domaine légitime de l’adresse e-mail de l’utilisateur.

« Bien que l’URL n’ait aucun rapport avec le site Web de l’entreprise, la page ressemble exactement à la vraie affaire », selon le rapport publié aujourd’hui. « En fait, c’est un miroir bit à bit du site réel de l’entreprise. L’utilisateur final verra son adresse e-mail préremplie et verra sa page de connexion traditionnelle et son arrière-plan, ce qui le rendra incroyablement convaincant. »

À partir de là, la page de phishing demandera soit l’e-mail deux fois comme validation, soit utilisera les informations d’identification en temps réel afin de vérifier le mot de passe. Si le mot de passe est bon, l’utilisateur sera dirigé vers un vrai document ou vers la page d’accueil de l’organisation.

Pendant ce temps, le navigateur de l’utilisateur reçoit un cookie qui rend la page de phishing « inaccessible », empêchant toute analyse ultérieure.

Jeremy Fuchs, analyste de recherche en cybersécurité chez Avanan, explique que les attaquants recherchent des noms d’utilisateur et des mots de passe en raison de ce à quoi ils peuvent accéder plus tard.

« Ils recherchent ces informations d’identification parce qu’elles sont incroyablement précieuses », dit-il. « Les mots de passe sont les clés du royaume. Ils peuvent ouvrir des documents financiers, des dossiers personnels, des dossiers d’employés ; ils peuvent mener à des comptes bancaires et à des dossiers médicaux. En volant des informations d’identification, les attaquants ont toute une série d’informations à portée de main. »

Liens avec SPAM-EGY, APT

Fuchs dit avoir vu cette approche de mise en miroir des pages par intermittence pendant environ deux ans, dans les attaques du groupe de phishing-as-a-service SPAM-EGY ainsi que dans les menaces persistantes avancées (APT).

Cette vague actuelle d’attaques suit les marques déposées du groupe SPAM-EGY, mais les chercheurs d’Avanan notent que ces attaques diffèrent en ciblant les domaines Google au lieu de Microsoft 365.

« Cela représente une évolution de ce type d’attaque et peut donc être mené par un groupe différent », selon le rapport.

Derek Manky, stratège en chef de la sécurité et vice-président du renseignement sur les menaces mondiales chez FortiGuard Labs de Fortinet, convient que la mise en miroir des pages n’est pas une nouvelle tactique, mais certainement une tactique efficace. Il souligne que ces sites miroirs sont souvent inclus dans des kits de phishing vendus via le modèle crime-as-a-service (CaaS).

Les organisations doivent prendre note des signes révélateurs d’hameçonnage

Un rapport récent de Kaspersky indique que les travailleurs ont tendance à ne pas remarquer les pièges cachés dans les e-mails consacrés aux problèmes de l’entreprise et aux notifications de problèmes de livraison. Mais Fuchs dit que, comme pour la plupart des attaques de phishing, il existe des signes révélateurs sur lesquels les organisations doivent former les utilisateurs.

« Il est important de rappeler aux employés de prendre deux secondes et de faire deux choses rapidement : regarder l’adresse de l’expéditeur et l’URL de la page », conseille-t-il. « L’adresse de l’expéditeur est souvent erronée ; c’est le premier indice que quelque chose ne va pas. L’URL sera également probablement erronée ; c’est le deuxième indice. Il est essentiel d’intégrer cela dans tout ce que font les employés. »

Manky ajoute que toutes les transactions d’identification doivent être effectuées en toute sécurité (HTTPS/SSL) et que le certificat doit être vérifié, car le certificat est unique et ne serait pas mis en miroir.

« Bien sûr, un site qui semble tout à fait légitime incitera la victime à faire davantage confiance – cependant, elle ne devrait pas faire confiance au contenu plutôt qu’au flux », ajoute-t-il.

Manky note également que la formation à la cyber-hygiène est une nécessité pour tout le monde dans l’organisation, les travailleurs à domicile, et pas seulement les organisations, étant la cible de cyberattaques.

« L’authentification multifacteur et la protection par mot de passe peuvent aider à protéger les informations personnelles des travailleurs à distance, et savoir comment repérer les e-mails de phishing et les programmes de publicité malveillante aidera les employés à éviter de tomber dans ces stratagèmes d’ingénierie sociale », a-t-il déclaré.

Les hameçonneurs adoptent des tactiques APT sophistiquées

Kristina Balaam, chercheuse principale en matière de renseignements sur les menaces chez Lookout, déclare qu’à mesure que le grand public est de plus en plus conscient des menaces de phishing, les acteurs de la menace semblent reconnaître qu’ils doivent améliorer leurs tactiques pour réussir à compromettre leurs cibles.

« Les utilisateurs sont de plus en plus exigeants et conscients des risques que les campagnes de phishing font peser sur leur sécurité personnelle et financière », explique-t-elle. « Lorsque la mise en miroir de pages est utilisée pour garantir qu’une page de phishing reproduit étroitement un portail d’authentification légitime, les utilisateurs sont plus susceptibles de faire confiance à l’application Web et de manquer des indicateurs de compromission plus sophistiqués. »

Elle ajoute que si certaines campagnes de phishing peuvent utiliser une image de marque incorrecte ou contenir de nombreuses erreurs grammaticales, ces pages plus sophistiquées ne peuvent se révéler qu’à travers des indicateurs moins évidents, comme des domaines légèrement mal orthographiés (c’est-à-dire des typosquatting) ou des certificats SSL manquants.

« Les hameçonneurs prennent ce qui fonctionne et l’amplifient. Si quelque chose fonctionne, ils continueront », déclare Fuchs. « Étant donné que bon nombre de ces attaques sont disponibles sous forme de « kits » téléchargeables, la barrière à l’entrée est beaucoup plus faible. »

De son point de vue, cela signifie qu’il y aura probablement une prolifération continue de ces types d’attaques propagées par divers groupes, APT et non-APT. Balaam est d’accord et dit qu’elle pense que cette convergence reflète un changement dans la volonté des acteurs de la menace financièrement motivés d’augmenter leur investissement dans leurs campagnes pour améliorer leurs taux de réussite et générer un meilleur retour sur leurs investissements.

« Pour la sécurité informatique, ce changement semble nous conduire vers une augmentation marquée du nombre d’utilisateurs quotidiens ciblés par des campagnes plus sophistiquées avec des TTP auparavant employés principalement par des acteurs APT », dit-elle.

D’autres campagnes de phishing récentes issues de l’avalanche d’attaques actuelle montrent également une sophistication toujours plus grande, notamment la campagne de phishing de Ducktail et un kit de phishing qui injecte des logiciels malveillants dans des sites WordPress légitimes.

Laisser un commentaire