Posté le juillet 22, 2020 à 22:16
CHECK POINT AFFIRME QUE LES HACKERS UTILISENT GOOGLE CLOUD POUR MASQUER LES ATTAQUES DE PHISHING
Les chercheurs de Check Point ont révélé hier que certains hackers utilisent Google Cloud Platform (GCP) pour dissimuler leurs attaques de phishing. Selon Checkpoint, ils le font en utilisant les fonctionnalités avancées d’un service de stockage en nuage populaire pour dissimuler leurs intentions malveillantes et éviter de se faire prendre. Grâce à cette méthode de dissimulation, les hackers échappent aux traditionnels signaux d’alerte pour les sites web sans certificat HTTPS ou les domaines suspects.
Dans certains cas, les hackers ont téléchargé des documents PDF sur Google Drive, y compris une demande de page d’hameçonnage pour les références Office n365, ce qui a conduit à un véritable rapport PDF publié par une société de conseil internationale très populaire.
Bien que le code source malveillant provienne d’une adresse IP ukrainienne, la page de phishing est hébergée sur le stockage Google Cloud.
Un document de phishing comporte un lien vers une page malveillante
Au début de l’année, les chercheurs de Check Point sont tombés sur une attaque, où les acteurs ont téléchargé des documents PDF sur Google Drive. Le document PDF téléchargé comporte un lien vers une page de phishing. La page était hébergée sur storage.googleapis[.]com/asharepoint-unwearied_439052791/index.html, et indiquait à l’utilisateur d’utiliser le courrier électronique de l’organisation ou office 365 pour se connecter.
Quelle que soit l’option choisie par l’utilisateur, une fenêtre contextuelle affichant la page de connexion à Outlook apparaît.
Une fois que l’utilisateur a saisi ses identifiants, il est dirigé vers un rapport PDF authentique publié par une société de consultance mondiale reconnue. L’utilisateur ne peut pas soupçonner qu’il s’agit d’une requête de phishing puisque la page de phishing est hébergée sur le stockage en nuage de Google. Mais d’après le code source de la page de phishing, il révèle que la majorité des ressources sont téléchargées à partir de prvtsmtp[.]com, le site web des attaquants.
Les acteurs utilisent une adresse IP ukrainienne
Les acteurs du phishing utilisent désormais les Google Cloud Functions, un service qui permet d’exécuter des codes dans le nuage.
Pour cette attaque, les fonctionnalités de Google Cloud ont été utilisées pour charger les ressources sur la page de phishing alors que les détails du domaine de l’attaquant restaient cachés.
Lorsque Check Point s’est penché sur prvtsmtp[.]com, la société de sécurité a découvert qu’il était lié à (31.28.168[.]4), qui s’est avéré être une adresse IP en Ukraine.
Plusieurs autres domaines similaires liés à l’attaque de phishing ont la même adresse IP ou une adresse différente mais au sein du même bloc de réseau.
« Les hackers pullulent autour des services de stockage dans le nuage sur lesquels nous comptons et auxquels nous faisons confiance, ce qui rend l’identification d’une attaque de phishing beaucoup plus difficile », a déclaré l’équipe de recherche de Check Point.
Check Point a en outre souligné que les signaux d’alerte classiques des attaques de phishing, tels que les sites web sans domaine ou les domaines ressemblant à des domaines, ne suffiront pas à identifier les attaques car les acteurs actuels dissimulent soigneusement leurs traces. Cela a été rendu beaucoup plus difficile pendant cette pandémie, car les attaquants profitent de plusieurs titres peu sûrs pour se jeter sur des victimes sans méfiance.
Comment rester protégé
Les utilisateurs de Google Cloud Platform ainsi que les utilisateurs d’Azure et d’AWS ont été invités à se méfier de la récente tendance au phishing et à se protéger. Selon Check Point, il faut se méfier des fichiers qu’ils reçoivent d’expéditeurs non sollicités.
Check Point a conseillé aux utilisateurs de se méfier des expéditeurs de mails inconnus, des fautes d’orthographe dans les sites web ou les mails, et des domaines ressemblants. Les utilisateurs doivent également se méfier des fichiers reçus d’expéditeurs inconnus qui leur demandent certaines actions.
Les utilisateurs doivent également s’assurer qu’ils commandent des produits auprès d’une source authentique. La meilleure façon de s’en assurer est de ne pas cliquer sur des liens promotionnels dans leurs e-mails ou sur un site web. Ils devraient plutôt se rendre sur Google et trouver le lien souhaité sur la page de résultats de Google. Mais s’ils ont l’adresse du site, ils doivent la taper immédiatement.
De plus, les utilisateurs sont mis en garde contre les offres « spéciales » qui proposent un remède contre le coronavirus, ce qui n’est généralement pas une opportunité d’achat fiable ou digne de confiance. Enfin, les chercheurs avertissent que les utilisateurs doivent cesser de réutiliser les mots de passe entre différents comptes et applications.