Posté le mars 8, 2021 à 16:29

UN NOUVEAU FAUX RECAPTCHA DE GOOGLE UTILISÉ DANS DES ATTAQUES DE PHISHING

Le monde du piratage malveillant est toujours en mouvement, innovant constamment pour tenter de tirer profit de leurs victimes encore plus efficacement. Zscaler a publié un rapport sur la dernière réalisation de cette innovation : Une campagne de phishing se faisant passer pour Microsoft et utilisant le faux ReCAPTCHA de Google.

Zscaler s’attribue rapidement le mérite

Le but du jeu de cette campagne, en particulier, semble être de voler les lettres de créance des cadres supérieurs de diverses organisations. Il est très probable que cela soit dû au fait que ces acteurs malveillants essaient d’obtenir le plus d’accès possible avec le moins d’identifiants possibles.

Si l’un de ces cadres supérieurs tombait dans le panneau, ils se vanteraient d’avoir un bon accès au système dont ces derniers utilisent. Pour ne pas manquer l’occasion, l’entreprise de sécurité a clairement indiqué qu’elle avait participé à la prévention de l’envoi de plus de 2 500 courriels de phishing.

Une campagne ciblée

C’est ThreatLabZ, l’équipe officielle de recherche sur les menaces de Zscaler, qui s’est chargé de la campagne. Dans leur rapport, ils révèlent que cette campagne de phishing est en cours depuis décembre 2020.

Il semble également que la cible principale de cette campagne de phishing ne soit pas juste un simple employé, mais plutôt les cadres supérieurs du secteur bancaire. L’industrie informatique est une autre cible principale de cette campagne de phishing, mais la campagne elle-même est répartie sur de nombreux secteurs.

Il est donc clair qu’il s’agit d’une attaque de phishing ciblée. Il convient de noter que les campagnes de phishing utilisant de faux ReCAPTCHA ont toujours existé ces dernières années, mais cette attaque se distingue par sa nature ciblée et concise.

Quant au fonctionnement de la campagne : Les victimes reçoivent un courrier électronique des attaquants, les e-mails de phishing semblant provenir de l’un des systèmes de communication unifiée utilisés par les entreprises pour une communication simplifiée. Bien sûr, ce mail contient une pièce jointe malveillante, d’où partent toutes les vilaines choses.

Plus de détails

La pièce jointe elle-même est un fichier HTML, et redirige la victime vers un domaine de phishing .xyz une fois ouverte. Cette page se déguise en une page Google ReCAPTCHA authentique, dans le but de faire croire aux victimes qu’elles se trouvent dans un endroit officiel.

Une fois que les utilisateurs ont vérifié ce visage de ReCAPTCHA, ils sont dirigés vers une fausse page de connexion pour Microsoft. Là, les victimes sont invitées à entrer leurs identifiants privés respectifs. Afin de paraître plus légitime, la page ajoute un message « Validation réussie » après que les informations aient été introduites.

Gayathri Anbalagan, chercheuse principale de Zscaler, a fait une déclaration sur cette affaire en général. Dans leur déclaration, la campagne de phishing a été officiellement classée comme une attaque BEC. Anbalagan a averti qu’aucun acteur spécifique de la menace ne pouvait être attribué à cette nouvelle campagne, mais prévient qu’il devait s’agir d’une action coordonnée en raison des profils des cibles et du thème opérationnel.

Le chaos mène à l’opportunité

Depuis la pandémie COVID-19, de nouvelles opportunités se sont présentées aux hackers du monde entier. En particulier, des tactiques plus avancées pourraient être utilisées dans le domaine de l’ingénierie sociale pour commencer à cibler les personnes en fonction de leurs qualifications et de leurs finances.

Parmi les campagnes les plus remarquables, on peut citer celle qui a eu lieu en janvier de cette année. Trend Micro, une autre société de sécurité, a réussi à mettre à jour une autre campagne d’hameçonnage ciblé, ou « spearphishing ». Celle-ci s’est déguisée en une fausse mise à jour pour Microsoft Office 365. Cette campagne visait les dirigeants d’entreprises, tentant de voler leurs données d’identification privées.

Cette campagne a eu lieu en mai 2020. L’attaque s’est articulée autour d’un réseau privé virtuel (VPN) compromis, couplé à des URL malveillantes. Dans la déclaration, il a été révélé que les acteurs malveillants ont réussi à réutiliser des hôtes compromis afin de créer des pages de phishing.

Ces pages, à leur tour, visaient diverses organisations de nombreux secteurs, tels que l’immobilier, l’industrie manufacturière, le gouvernement, la finance et même les industries technologiques. Les attaques se sont également propagées à de nombreux pays, ciblant les États-Unis, le Japon, le Canada, le Royaume-Uni, l’Australie ainsi que l’Europe.

Comme toujours, il est recommandé aux utilisateurs de s’abstenir de répondre ou de cliquer sur les pièces jointes et les URL de tout courrier électronique qui semble suspect, même de loin. Aujourd’hui, il est possible de vider entièrement votre compte parce que vous avez cliqué sur la mauvaise pièce jointe. Plus il y a d’argent dans un secteur, plus ce secteur est susceptible d’être attaqué par des campagnes de phishing ciblées comme celles mentionnées ci-dessus.