Posté le septembre 15, 2022 à 7:36
DES HACKERS SE DÉGUISENT EN VÉRITABLES ORGANISATIONS POUR LANCER DES ATTAQUES DE PHISHING
Un groupe de hackers Iraniens a été vu en train d’utiliser une nouvelle méthode d’hameçonnage sophistiquée pour attirer ses cibles à l’aide de plusieurs comptes de messagerie et de personnalités. Selon le rapport, les acteurs de la menace attirent leurs cibles en leur faisant croire que l’e-mail provient d’une source authentique.
Les acteurs de la menace envoient des e-mails à leurs cibles et ajoutent une autre adresse e-mail sous leur contrôle dans le champ CC, puis répondent à partir de cet e-mail. Cela permet aux attaquants d’engager une fausse conversation.
Les attaquants utilisent le principe psychologique de la « preuve sociale »
Les chercheurs de Proofpoint ont baptisé la campagne « multi-persona impersonation » (MPI). Ils ont découvert l’attaque et déclaré que la méthode utilise le principe psychologique de la « preuve sociale » pour détourner la réflexion logique. En outre, ils ajoutent certains éléments aux fils de phishing pour les rendre suffisamment fiables et authentiques pour tromper les cibles.
Les acteurs de la menace seraient les TA453, un groupe de hackers Iraniens qui opère au sein du Corps des gardiens de la révolution islamique (IRGC). Le groupe a déjà été vu en train de cibler des experts politiques et des universitaires au Moyen-Orient en se faisant passer pour des journalistes.
Les hackers ciblent les institutions
La nouvelle stratégie avec TA453 exige davantage de travail de la part des hackers avant de pouvoir mener à bien une attaque. Chaque cible doit être engagée dans une conversation réaliste menée par des marionnettes ou de faux personnages. Mais l’effort supplémentaire en vaut la peine en raison du gain qu’ils pourraient finalement obtenir. Il crée un échange d’e-mails réalistes, ce qui donne l’impression que la conversation est authentique.
Proofpoint a partagé les détails d’un rapport en juin de cette année, l’expéditeur se faisant passer pour le directeur de la recherche de FRPI. Il a envoyé de faux courriels ciblant des utilisateurs et mettant en CC un directeur de la recherche sur les attitudes mondiales au PEW Research Center.
À peine 24 heures après l’envoi du mail, le directeur de PEW déguisé a répondu aux questions adressées au directeur de FRPI. Cela a créé un faux sentiment, faisant croire à une conversation honnête qui incite les cibles à adhérer.
Proofpoint a également signalé un autre cas impliquant des scientifiques spécialisés dans la recherche générale. Dans cet exemple, le personnage en copie a répondu en utilisant un lien OneDrive qui a entraîné le téléchargement d’un document DOCX, avec des macros malveillantes plantées dans le document.
Dans une autre attaque de phishing MPI orchestrée par TA453, deux universitaires spécialisés dans le contrôle des armes nucléaires étaient les cibles. D’après Proofpoint, les hackers ont choisi trois personnages pour mener une attaque encore plus sophistiquée.
Les hackers ont utilisé des adresses électroniques personnelles
Les hackers ont utilisé des méthodes d’attaque similaires dans tous ces cas, ont noté les chercheurs. Les acteurs de la menace ont utilisé des adresses électroniques personnelles (Hotmail, AOL, Outlook, Gmail) pour les expéditeurs et les personnes mises en copie, plutôt que les adresses habituelles des institutions dont ils se font passer pour les autres. C’est là que les chercheurs ont soupçonné les activités des hackers.
S’il s’agissait d’une véritable institution, elle utiliserait son adresse de messagerie Web pour transmettre les informations. Mais comme les hackers n’ont pas accès à ces e-mails, ils ont choisi d’utiliser des adresses e-mail personnelles. Bien qu’un observateur très attentif puisse repérer cette différence, les acteurs de la menace parviennent tout de même à tromper certains utilisateurs.
Les documents utilisés pour tromper les cibles afin qu’elles téléchargent via les liens OneDrive dans TA453 étaient des fichiers protégés par un mot de passe qui exécutent une injection de modèle. Le rapport a révélé que le modèle téléchargé que Proofpoint appelle Korg comporte trois macros distinctes : ThisDocument.cls, Module2.bas, et Module1.bas.
Les macros recueillent des informations telles que le nom d’utilisateur de la cible, l’IP publique et une liste des processus en cours d’exécution du système ciblé. Après avoir recueilli les détails, il exfiltre les données en utilisant l’API de Telegram.
Toutefois, les chercheurs de Proofpoint n’ont pas été en mesure de dépasser l’étape du balisage des informations de reconnaissance. Ils pensent qu’il existe des exploitations dans les étapes suivantes qui fournissent des capacités d’exécution de menaces aux acteurs de menaces distants.
Les faux-nez sont des faux comptes de médias sociaux créés de manière détaillée qui cachent leurs véritables comptes. Il s’agit généralement de profils de personnages fictifs créés par une personne dont l’objectif est de faire croire à la cible qu’elle communique avec un véritable contact. Elles font généralement partie d’une technique d’ingénierie sociale OSINT.
Ces comptes sont utilisés par les détectives, les enquêteurs, les journalistes et la police pour dissimuler leur identité lors de certaines actions. Cependant, ils sont également utilisés par les hackers pour tromper leurs cibles. Les chercheurs ont demandé aux utilisateurs de se méfier de ces types d’attaques et de rechercher des signes indiquant qu’ils sont ciblés par des acteurs de menaces.
