Crédit : Dreamstime
SuperMailer, un programme légitime de newsletter par e-mail, a été découvert comme abusé par des pirates pour mener une campagne de collecte d’informations d’identification à grand volume, selon la société de sécurité réseau Cofense.
« Les e-mails générés par SuperMailer atteignent les boîtes de réception à un volume de plus en plus remarquable », a déclaré Brah Haas, analyste du renseignement sur les cybermenaces chez Cofense, dans un article de blog. « Les e-mails contenant la chaîne SuperMailer unique ont été à peine enregistrés en janvier et février, mais dans la première quinzaine de mai, ils représentaient plus de 5 % des informations d’identification e-mails d’hameçonnage. »
La chaîne SuperMailer unique fait référence à une erreur de codage incluse par les acteurs de la menace lors de la création de modèles d’e-mails dans SuperMailer. Cofense a également été en mesure d’identifier d’autres indicateurs de compromission dans les e-mails avec la chaîne SuperMailer, qui, lorsqu’ils sont recoupés, ont complété 14 % du nombre total d’incidents de phishing identifiés en mai.
Les hameçonneurs sont attirés par les fonctionnalités de base de SuperMailer
SuperMailer est une application payante conçue pour une utilisation sur ordinateur, se présentant comme un outil permettant de générer et d’envoyer des newsletters HTML par e-mail et des e-mails en masse personnalisés. Un pack de fonctionnalités attrayantes, selon Cofense, est peut-être responsable d’un rythme accéléré de la campagne malgré des erreurs occasionnelles.
« Les acteurs de la menace à l’origine de la campagne ont trouvé une combinaison fonctionnelle de tactiques, l’ont affinée et l’ont étendue, le tout en l’espace de quelques semaines. Le fait que les e-mails atteignent les utilisateurs de manière si constante souligne l’importance de la sensibilisation des utilisateurs et d’un programme de sécurité des e-mails robuste et basé sur l’intelligence », a déclaré Haas.
Les fonctionnalités d’une grande valeur pour les pirates incluent des champs d’espace réservé pour la personnalisation des e-mails, un éditeur visuel, une option d’envoi multithread et la compatibilité avec plusieurs systèmes de messagerie.
Bien que les champs d’espace réservé et l’éditeur visuel permettent une personnalisation approfondie, y compris l’ajout d’un prénom, d’un nom, d’une adresse e-mail, de détails sur l’organisation et d’e-mails HTML visuellement attrayants, la compatibilité et les options d’envoi facilitent l’envoi à de nombreux chaînes rapidement.
En outre, les attaquants ont utilisé des thèmes d’e-mail familiers tels que les alertes d’expiration de mot de passe, les notifications de document numérisé ou de service de signature, et les factures en retard ou les rappels de paiement, parallèlement à leurs efforts de personnalisation. Dans les campagnes récentes, les acteurs de la menace ciblent spécifiquement les identifiants de connexion Microsoft selon Cofense.
Plusieurs tactiques pour éviter la détection de SEG
Pour que les e-mails de phishing réussissent à tromper le destinataire, ils doivent également contourner les systèmes de filtrage des e-mails du destinataire. Pour y parvenir, les récentes campagnes générées par SuperMailer utilisent diverses stratégies pour échapper à la détection par les passerelles de messagerie de sécurité (SEG) et d’autres mesures de sécurité.
Quelques techniques d’évasion observées dans la campagne incluent l’abus de redirection ouverte, la randomisation d’URL, les expéditeurs d’e-mails variés et les chaînes de réponse.
Alors que les redirections ouvertes, dirigeant les utilisateurs vers des URL externes, sont utilisées car SEG ne peut pas suivre la redirection, la randomisation d’URL est une technique connue pour échapper au blocage d’URL en raison de la présence de chaînes suspectes dans l’URL.
La falsification de l’origine des e-mails et l’introduction de chaînes de réponse aux e-mails sont des techniques pour falsifier la réputation et ainsi contourner la détection à la fois par SEG et les utilisateurs.
« En combinant les fonctionnalités de personnalisation et les capacités d’envoi de SuperMailer avec les tactiques d’évasion SEG, les acteurs de la menace à l’origine de la campagne ont envoyé des e-mails personnalisés et d’apparence légitime dans des boîtes de réception couvrant tous les secteurs », a déclaré Haas.
Bien que Cofense les ait attrapés à cause d’une erreur de codage, a averti Haas, les acteurs de la menace derrière la campagne doivent être pris au sérieux car ils ont également fait preuve de sophistication grâce à cette combinaison de tactiques.
Toute l’actualité en temps réel, est sur L’Entrepreneur
