Resecurity, Inc. (États-Unis) a constaté un pic de contenu de phishing diffusé via Azure Front Door (AFD), un service CDN cloud fourni par Microsoft. Les ressources identifiées parmi les campagnes nuisibles usurpaient l’identité de différents services semblant être légalement produits sur le domaine « azurefd.net ». Cela permet aux mauvaises étoiles de tromper les utilisateurs et de diffuser du contenu de phishing pour obstruer les informations d’identification des applications de service et des comptes de messagerie.
De manière significative, la plupart des ressources de phishing ont été conçues pour cibler les clients SendGrid, Docusign et Amazon, ainsi qu’un nombre d’autres sociétés et sociétés de services en ligne importantes au Japon et au Moyen-Orient. Selon les spécialistes, de telles stratégies confirment que les mauvaises stars souhaitent continuellement améliorer leurs méthodes et leurs traitements pour empêcher la détection de phishing en utilisant des services cloud mondialement connus.
Sur la base des modèles de phishing examinés, les agresseurs sont très probablement en utilisant une méthode automatique pour produire leurs lettres de phishing, ce faisant, ils sont en mesure d’adapter leurs campagnes pour éventuellement cibler une plus grande variété de clients à l’échelle internationale.
Les scientifiques en cybersécurité de Resecurity ont déterminé plusieurs domaines utilisés dans la nouvelle vague d’attaques de phishing remontant au début du mois de juin, dont certaines sont certainement difficiles à séparer de la correspondance authentique en raison de leur dénomination et de leur recommandation à Azure Front Door, ce qui inclut simplement plus de complexité pour les défenseurs :
gridapisignout [] azurefd [] net
amazon-uk [] azurefd [] net
webmailsign [] azurefd [] net
onlinesigninlogin [] azurefd [] net
owasapisloh [] azurefd [] net
docuslgn-micros0ft983-0873878383 [] azurefd.net
Certaines instances de ce projet ont commencé vers le mois de mars 2022 et étaient principalement axées sur le Japon et hébergées sur les ressources Kagoya VPS. Les circonstances agissant comme des scripts pour la collecte de qualifications obstruées ont également été hébergées sur diverses ressources Web piratées, tirant parti de domaines ayant une orthographe comparable aux noms de sociétés existantes. Ces domaines ont été utilisés pour usurper l’identité d’un certain nombre de grandes entreprises du Moyen-Orient et d’autres pays, ce qui peut confirmer que le projet aurait pu être ciblé et avait des intentions spécifiques autres que financières.
Dans l’un des épisodes de phishing, le danger les acteurs se sont fait passer pour le grand conglomérat de services Al-Futtaim Group des Émirats arabes unis qui a été créé en 1930 avec plus de 44 000 travailleurs. L’hôte a été produit en mars 2022 et a été utilisé pour collecter des qualifications obstruées en tirant parti de l’orthographe avec seulement 1 lettre différente du nom authentique et principal du domaine du groupe Al-Futtaim (« alfuttairn [] com » VS « alfuttaim [] com »).
Le domaine nuisible déterminé et des renseignements supplémentaires ont été signalés par Resecurity au Microsoft Security Action Center (MSRC) afin de réduire les risques et dommages éventuels liés à cette activité. Toutes les ressources nuisibles déterminées ont été supprimées efficacement et rapidement.
Des projets similaires ont été reconnus par MalwareHunterTeam (MHT) en novembre 2021, lorsque Azure Front Door Service (AFD) a été utilisé pour héberger du contenu de phishing ciblant les universités et les employés du gouvernement britannique.
Selon les spécialistes, de telles techniques pourraient être exploitées à la fois par des vedettes sophistiquées de la menace et des groupes APT, ainsi que par des cybercriminels pour éviter d’être identifiés en train de mener des projets de phishing, de compromission de messagerie d’entreprise (BEC) et de compromission de compte de messagerie (EAC).
Dans un rapport de mars 2022, l’IC3 a déclaré avoir rencontré près de 20 000 problèmes de BEC l’année dernière, avec des pertes ajustées approximatives d’environ 2,4 milliards de dollars. Le total des données BEC/EAC communiquées au FBI IC3, aux forces de l’ordre et issues des dépôts auprès des institutions financières entre juin 2016 et décembre 2021 dépasse 43 milliards de dollars.
Toute l’actualité en temps réel, est sur L’Entrepreneur
