La solution de système de fichiers décentralisée connue sous le nom d’IPFS est en train de devenir le nouveau « foyer » pour l’hébergement de sites de phishing, ont averti les chercheurs.
La société de cybersécurité Trustwave SpiderLabs, qui a divulgué les détails des campagnes d’attaque, a déclaré avoir identifié pas moins de 3 000 e-mails contenant des URL de phishing IPFS comme vecteur d’attaque au cours des trois derniers mois.
IPFS, abréviation de InterPlanetary File System, est un réseau peer-to-peer (P2P) pour stocker et partager des fichiers et des données à l’aide de hachages cryptographiques, au lieu d’URL ou de noms de fichiers, comme cela est observé dans une approche client-serveur traditionnelle. Chaque hachage constitue la base d’un identifiant de contenu unique (CID).
L’idée est de créer un système de fichiers distribué résilient qui permet de stocker les données sur plusieurs ordinateurs. Cela permettrait d’accéder aux informations sans avoir à s’appuyer sur des tiers tels que les fournisseurs de stockage en nuage, ce qui les rendrait effectivement résistantes à la censure.
« La suppression du contenu de phishing stocké sur IPFS peut être difficile car même s’il est supprimé dans un nœud, il peut toujours être disponible sur d’autres nœuds », ont déclaré les chercheuses de Trustwave, Karla Agregado et Katrina Udquin. a dit dans un rapport.
L’absence d’un URI (Uniform Resource Identifier) statique qui peut être utilisé pour localiser et bloquer un seul élément de contenu chargé de logiciels malveillants complique davantage les choses. Cela signifie également qu’il pourrait être beaucoup plus difficile de supprimer les sites de phishing hébergés sur IPFS.
Les attaques observées par Trust impliquent généralement un certain type d’ingénierie sociale pour abaisser la garde des cibles afin de les inciter à cliquer sur des liens IPFS frauduleux et à activer les chaînes d’infection.
Ces domaines invitent les victimes potentielles à entrer leurs informations d’identification pour afficher un document, suivre un colis sur DHL ou renouveler leur abonnement Azure, uniquement pour siphonner les adresses e-mail et les mots de passe vers un serveur distant.
« Avec la persistance des données, un réseau robuste et peu de réglementation, IPFS est peut-être une plate-forme idéale pour les attaquants pour héberger et partager du contenu malveillant », ont déclaré les chercheurs.
Les résultats surviennent au milieu d’un changement plus important dans le paysage des menaces par e-mail, avec les plans de Microsoft pour bloquer les macros obligeant les acteurs de la menace à adapter leurs tactiques pour distribuer des exécutables qui peuvent conduire à une reconnaissance ultérieure, au vol de données et à des ransomwares.
Vue sous cet angle, l’utilisation d’IPFS marque une autre évolution du phishing, offrant aux attaquants un autre terrain de jeu lucratif à expérimenter.
« Les techniques de phishing ont fait un bond en avant en utilisant le concept de services cloud décentralisés utilisant IPFS », ont conclu les chercheurs.
« Les spammeurs peuvent facilement camoufler leurs activités en hébergeant leur contenu dans des services d’hébergement Web légitimes ou en utilisant plusieurs techniques de redirection d’URL pour aider à contrecarrer les scanners utilisant la réputation d’URL ou l’analyse automatisée d’URL. »
De plus, ces changements se sont également accompagnés de l’utilisation de kits de phishing prêts à l’emploi – une tendance appelée phishing-as-a-service (PhaaS) – qui offrent aux pirates un moyen simple et rapide de monter des attaques par e-mail. et SMS.
En effet, une campagne à grande échelle découverte le mois dernier a été observée en utilisant une plate-forme PhaaS vieille de quatre mois surnommée Robin Banks pour piller les informations d’identification et voler les informations financières des clients de banques bien connues en Australie, au Canada, au Royaume-Uni et aux États-Unis, la société de cybersécurité IronNet a révélé cette semaine.
« Bien que la principale motivation des escrocs utilisant ce kit semble être financière, le kit demande également aux victimes leurs informations d’identification Google et Microsoft après avoir voyagé sur la page d’accueil de phishing, indiquant qu’il pourrait également être utilisé par des acteurs de la menace plus avancés cherchant à gagner accès initial aux réseaux d’entreprise pour les rançongiciels ou d’autres activités post-intrusion », les chercheurs a dit.