Posté le novembre 19, 2022 à 6:34
DES ACTEURS DE MENACES À MOTIVATION FINANCIÈRE UTILISENT 42 000 DOMAINES FICTIFS POUR DES ATTAQUES DE PHISHING
Des chercheurs ont découvert qu’un acteur de la menace à motivation financière basé en Chine profite de la confiance de marques internationales populaires pour lancer des campagnes de phishing sur des victimes peu méfiantes. Le groupe, appelé Fangxiao par Cyjax, mène des attaques de phishing à grande échelle depuis 2019, mais leur activité initiale a commencé en 2017. Les acteurs ont enregistré plus de 42 000 faux domaines.
« Il cible des entreprises dans plusieurs secteurs verticaux, notamment le commerce de détail, la banque, les voyages et l’énergie », ont commenté les chercheuses Alana Witten et Emily Dennison à propos des activités des hackers. Le groupe utilise des incitations physiques ou financières pour piéger ses victimes et diffuser la campagne via WhatsApp.
Les acteurs de la menace redirigent les victimes vers des applications infestées de logiciels malveillants
Les utilisateurs qui cliquent sur le lien envoyé par les acteurs via l’application de messagerie sont envoyés sur un site contrôlé par les acteurs de la menace. Les utilisateurs sont ensuite redirigés vers une page de renvoi qui usurpe l’identité d’une marque très populaire. Les hackers ne s’arrêtent pas là. Ils amènent les utilisateurs de la page de destination vers des sites qui distribuent de fausses récompenses et des applications frauduleuses.
Les sites demandent aux visiteurs de réaliser une enquête et de réclamer des prix en espèces en remplissant le formulaire de l’enquête. Ils sont invités à envoyer le message à 20 personnes ou à cinq groupes WhatsApp pour réclamer leur récompense. Tout au long de ce processus, le hacker recueille la chaîne User-Agent du navigateur et l’adresse IP de la victime.
Selon le rapport, plus de 400 organisations, dont Indomie, Unilever, Shopee, Emirates, Knorr, McDonald’s et Coca-Cola, ont été usurpées dans le cadre de ce système.
Les acteurs de la menace déploient également des chevaux de Troie mobiles
Les acteurs de la menace utilisent également des publicités mobiles frauduleuses, sur lesquelles les cibles sont incitées à cliquer à partir de leurs appareils Android. Ils déploient un cheval de Troie mobile connu sous le nom de Triada, dont on a récemment découvert qu’il se multipliait par le biais de fausses applications WhatsApp.
Outre Triada, une autre application infestée de logiciels malveillants appelée « App Booster Lits » a également été utilisée par les acteurs de la menace pour propager leurs attaques. Elle était également répertoriée sur le Google Play Store, ce qui facilite son téléchargement en raison de la crédibilité de la plateforme. Les chercheurs ont également noté que l’application infestée de logiciels malveillants compte déjà plus de 10 millions de téléchargements.
L’application est conçue par LocoMind, un développeur basé en République Tchèque. Elle est décrite comme un puissant booster de téléphone. Elle est également décrite comme un « économiseur de batterie efficace » et un « nettoyeur de fichiers indésirables intelligent ».
Certains utilisateurs de l’application ont rédigé des critiques reprochant à l’éditeur d’afficher autant de publicités. Certains d’entre eux ont souligné qu’ils ont été dirigés vers la page de téléchargement de l’application par l’une de ces publicités « votre android est endommagé ».
Cependant, LocoMind a répondu à certaines des critiques en affirmant que l’application ne répand pas de virus. « Chacune de nos mises à jour est vérifiée par Google Play – ils auraient retiré notre application depuis longtemps pour cette raison », a déclaré le développeur dans l’une des réponses.
Les acteurs gagnent également des commissions grâce aux liens d’affiliation
Outre la redirection de l’utilisateur vers l’App Store, certaines des victimes utilisant iOS sont redirigées vers le lien d’affiliation d’Amazon lorsqu’elles effectuent la même action que celle demandée par les acteurs de la menace. Les acteurs de la menace reçoivent ainsi une commission lorsqu’un achat est effectué par l’utilisateur à partir du lien dans les 24 heures.
Le lien des hackers avec la Chine provient de l’utilisation de texte en Mandarin dans un service web connecté à aaPanel. Il s’agit d’un panneau de contrôle basé sur le langage de programmation Python utilisé pour l’hébergement de plusieurs sites.
Lorsque les chercheurs ont analysé les certificats TLS un peu plus en détail, ils ont découvert que ceux émis pour les domaines de l’enquête l’année dernière et cette année se chevauchent avec le fuseau horaire UTC+8. Cela correspond à l’heure normale de la Chine.
Les acteurs sont expérimentés dans les campagnes d’usurpation d’identité
Les chercheurs ont ajouté que les acteurs de la menace sont bien rodés dans l’organisation de ces types de campagnes d’imposture. Ils sont également prêts à utiliser différentes méthodes pour atteindre leurs objectifs frauduleux. Les hackers disposent de moyens logistiques et techniques sophistiqués pour étendre leurs opérations à plusieurs régions.
Ces campagnes Fangxiao ont été efficaces pour les acteurs de la menace, qui redirigent leurs victimes vers plusieurs endroits pour éviter d’être identifiés. Ils s’engagent dans une campagne plus large avec l’utilisation de logiciels malveillants, de divers domaines, de logiciels publicitaires, d’annonces et de liens de référence.
Fangxiao enregistre quotidiennement plus de 300 nouveaux domaines d’usurpation d’identité afin de générer un trafic massif pour ses clients et ses propres sites.
Depuis mars de cette année, les acteurs de la menace ont utilisé plus de 24 000 domaines d’atterrissage et d’enquête pour promouvoir leur fausse campagne auprès de leurs cibles.
La plupart des sites sont enregistrés via Wix, Namecheap et GoDaddy, et cachés derrière Cloudflare.
