Une campagne de phishing falsifie les notifications Xerox pour inciter les victimes à cliquer sur des pièces jointes HTML malveillantes.

Non classé

Les attaquants derrière une campagne de phishing récemment découverte ont involontairement laissé plus de 1000 identifiants volés disponibles en ligne via de simples recherches Google, ont découvert des chercheurs.

La campagne, qui a débuté en août 2020, a utilisé des e-mails qui usurpent les notifications des scans Xerox pour inciter les victimes à cliquer sur des pièces jointes HTML malveillantes, selon un rapport de Check Point Research publié jeudi.

Check Point a travaillé avec la société de sécurité Otorio pour découvrir la campagne, qui a réussi à contourner le filtrage de Microsoft Office 365 Advanced Threat Protection (ATP) pour voler plus de 1000 informations d’identification d’entreprise, ont déclaré des chercheurs.

Bien que cela ne soit pas en soi atypique des campagnes de phishing, les attaquants ont commis une «simple erreur dans leur chaîne d’attaque» qui a laissé les informations d’identification qu’ils avaient volées exposées à «l’Internet public, sur des dizaines de serveurs de zone de dépôt utilisés par les attaquants. », Ont déclaré les chercheurs.

Habituellement, les informations d’identification sont les joyaux de la couronne d’une attaque, quelque chose que les acteurs de la menace gardent pour eux-mêmes afin de pouvoir les vendre sur le dark web à des fins lucratives ou les utiliser à leurs propres fins néfastes.

Cependant, dans cette campagne, «avec une simple recherche sur Google, n’importe qui aurait pu trouver le mot de passe de l’une des adresses e-mail piratées et volées: un cadeau à tous les attaquants opportunistes», ont écrit les chercheurs.

En effet, les attaquants ont stocké les informations d’identification volées dans des pages Web désignées sur des serveurs compromis, a déclaré Lotem Finkelsteen, responsable du renseignement sur les menaces pour Check Point Software. Cependant, comme Google indexe constamment Internet, le moteur de recherche a également indexé ces pages, les mettant à la disposition de toute personne qui a demandé à Google une adresse e-mail volée.

« Les attaquants ne pensaient pas que s’ils pouvaient scanner ces pages sur Internet, Google le pouvait aussi », a déclaré Finkelsteen dans un communiqué par courrier électronique. «Il s’agissait d’un échec de sécurité de l’opération évident pour les attaquants.»

Les organisations ciblées dans la campagne couvraient un certain nombre d’industries – y compris la vente au détail, la fabrication, la santé et l’informatique – avec un intérêt particulier pour les entreprises d’énergie et de construction, ont noté les chercheurs. Il a également été prouvé que la campagne n’était pas le premier rodéo des attaquants, car les e-mails et le codage JavaScript utilisés dans les attaques étaient corrélés à une campagne de phishing de mai de la même année, ont-ils déclaré.

La campagne a commencé par un e-mail utilisant l’un des nombreux modèles d’hameçonnage imitant une notification Xerox avec le prénom ou le titre de l’entreprise de la cible dans la ligne d’objet. L’e-mail comprenait un fichier HTML qui, une fois cliqué, inviterait l’utilisateur avec une page de connexion similaire à Xerox.

«Après le lancement du fichier HTML, un code JavaScript s’exécutait alors en arrière-plan du document», ont écrit les chercheurs. «Le code était responsable de la simple vérification des mots de passe, de l’envoi des données au serveur de la zone de dépôt des attaquants et de la redirection de l’utilisateur vers une page de connexion Office 365 légitime.»

Les serveurs de zone de dépôt utilisés par la campagne étaient des dizaines de sites Web WordPress qui hébergeaient des pages PHP malveillantes et traiteraient toutes les informations d’identification entrantes des victimes de phishing, ont déclaré des chercheurs.

«Tout en utilisant une infrastructure spécialisée, le serveur fonctionnerait pendant environ deux mois avec des dizaines de domaines XYZ», ont-ils noté. « Ces domaines enregistrés ont été utilisés dans les attaques de phishing. »

La campagne a également non seulement éludé Microsoft 365 ATP, mais également la plupart des protections antivirus grâce à sa simple utilisation de serveurs compromis. Les attaquants ont également continuellement peaufiné et affiné leur code pour créer «une expérience plus réaliste afin que les victimes soient moins susceptibles de voir leurs soupçons éveillés et plus susceptibles de fournir leurs identifiants de connexion», ont noté les chercheurs.

Les chercheurs ont donné les conseils habituels aux gens pour éviter d’être dupés par les campagnes de phishing, comme leur rappeler de vérifier soigneusement les domaines, de se méfier des expéditeurs inconnus, de réfléchir à deux fois avant d’accepter une «offre spéciale» et d’utiliser des mots de passe différents pour différents comptes en ligne. En effet, ce dernier point en particulier reste une erreur courante que commet même l’internaute le plus averti, selon la recherche.

Source de l’article : https://threatpost.com/attackers-leave-stolen-credentials-google-searches/163220/

Laisser un commentaire

Résoudre : *
46 ⁄ 23 =