Une campagne de phishing continue et à grande échelle cible les propriétaires de comptes de messagerie professionnels dans des entreprises des secteurs de la technologie financière, du crédit, de l’assurance, de l’énergie et de la production aux États-Unis, au Royaume-Uni, en Nouvelle-Zélande et en Australie, préviennent les scientifiques de Zscaler .
Les agresseurs utilisent une variété de techniques et de tactiques pour éviter les solutions de sécurité des e-mails professionnels et un ensemble de phishing personnalisé qui leur permet de contourner la protection par authentification multifacteur (MFA) pour pirater les comptes Microsoft de l’entreprise.
Après la compromission, les adversaires ont été aperçus en train de se connecter à un compte compromis pour consulter les e-mails et vérifier les détails du profil de l’utilisateur.
Un hameçonnage actif voleur d’informations d’identification campagne
Selon les chercheurs, l’acteur dangereux derrière le projet utilise de nombreuses méthodes de dissimulation et d’empreintes digitales du navigateur Web pour contourner les systèmes d’analyse automatique d’URL, et diverses méthodes de redirection d’URL pour éviter les services d’analyse d’URL d’e-mails professionnels
Les agresseurs utilisent des services de modification de code en ligne tels que CodeSandbox et les pages Problem et Open Redirect hébergées par Google Ads et Snapchat pour héberger le code URL de redirection.
« Il a en fait été observé qu’au milieu de une campagne, les agresseurs personnaliseront le code d’une page de redirection et mettront à jour l’URL d’un site de phishing qui a en fait été signalé comme malveillant, vers une nouvelle URL inaperçue », ont-ils déclaré.
En raison de certaines caractéristiques uniques– Analyse HTML, absence de traduction de domaine : les scientifiques pensent que les agresseurs utilisent un ensemble de phishing Adversary-in-the-middle (AiTM) personnalisé pour hameçonner le deuxième aspect d’authentification des cibles ainsi que leurs identifiants de messagerie.
Que devraient rechercher les cibles potentielles ?
Le projet s’est apparemment accéléré en juin 2022, et les leurres – envoyés par e-mail – consistent en des demandes de validation de paiements, de téléchargement de fichiers partagés via SharePoint et réinitialiser (ou définir des mots de passe expirés).
« S Certains des domaines enregistrés par les attaquants étaient des versions typosquattées des coopératives de crédit fédérales légitimes aux États-Unis », ont noté les chercheurs. Ils ont lié ceux-ci à des e-mails provenant des adresses e-mail des présidents des sociétés Federal Credit Union respectives.
« Cela montre que la star du danger a peut-être compromis les e-mails d’entreprise des présidents de ces sociétés utilisant cette attaque de phishing et plus tard utilisé ces e-mails d’entreprise compromis pour envoyer des e-mails de phishing supplémentaires dans le cadre du même projet. »
D’autres pages de phishing ont été parquées sur des domaines utilisant des mots-clés associés à la réinitialisation du mot de passe (par exemple, emailaccess-passwordnotice [] com), et d’autres images fixes sur des domaines entièrement aléatoires.
« Par mesure de précaution supplémentaire, les utilisateurs ne doivent pas ouvrir les pièces jointes ou cliquer sur les liens dans les e-mails envoyés par des sources non fiables ou inconnues. Comme meilleure pratique, en principe, les utilisateurs doivent valider l’URL dans la barre d’adresse de le navigateur Internet avant d’obtenir des qualifications », ont encouragé les chercheurs.
Pour aider les protecteurs d’entreprise, Zscaler a compilé et mettra à jour une liste d’IOC qu’ils peuvent utiliser pour le blocage.
Toute l’actualité en temps réel, est sur L’Entrepreneur
