Les chercheurs en cybersécurité ont mis en garde contre des campagnes de phishing en cours qui abusent des entrées d’actualisation dans les en-têtes HTTP pour fournir des pages de connexion par courrier électronique falsifiées, conçues pour récolter les informations d’identification des utilisateurs.
« Contrairement à d’autres comportements de distribution de pages Web de phishing via du contenu HTML, ces attaques utilisent l’en-tête de réponse envoyé par un serveur, qui se produit avant le traitement du contenu HTML », ont déclaré Yu Zhang, Zeyu You et Wei Wang, chercheurs de l’unité 42 de Palo Alto Networks. dit.
« Les liens malveillants obligent le navigateur à actualiser ou à recharger automatiquement une page Web immédiatement, sans nécessiter d’interaction de l’utilisateur. »
Les cibles de cette activité à grande échelle, observée entre mai et juillet 2024, incluent de grandes entreprises en Corée du Sud, ainsi que des agences gouvernementales et des écoles aux États-Unis. Pas moins de 2 000 URL malveillantes ont été associées à ces campagnes.
Plus de 36 % des attaques ont ciblé le secteur des affaires et de l’économie, suivi des services financiers (12,9 %), du gouvernement (6,9 %), de la santé et de la médecine (5,7 %), et de l’informatique et d’Internet (5,4 %).
Ces attaques sont les dernières d’une longue liste de tactiques employées par les acteurs malveillants pour masquer leurs intentions et inciter les destinataires des e-mails à divulguer des informations sensibles, notamment profiter des domaines de premier niveau (TLD) et des noms de domaine tendance pour propager des attaques de phishing et de redirection.
Les chaînes d’infection se caractérisent par la livraison de liens malveillants via URL d’actualisation d’en-tête contenant les adresses e-mail des destinataires ciblés. Le lien vers lequel être redirigé est intégré dans le Actualiser l’en-tête de réponse.
Le point de départ de la chaîne d’infection est un message électronique contenant un lien qui imite un domaine légitime ou compromis qui, lorsqu’on clique dessus, déclenche la redirection vers la page de collecte d’informations d’identification contrôlée par l’acteur.
Pour donner à la tentative de phishing un semblant de légitimité, les pages de connexion malveillantes au webmail contiennent les adresses e-mail des destinataires pré-remplies. On a également observé des attaquants utilisant des domaines légitimes qui proposent Raccourcissement d’URL, suivi et marketing de campagne services.
« En imitant soigneusement les domaines légitimes et en redirigeant les victimes vers des sites officiels, les attaquants peuvent masquer efficacement leurs véritables objectifs et augmenter la probabilité d’un vol d’informations d’identification réussi », ont déclaré les chercheurs.
« Ces tactiques mettent en évidence les stratégies sophistiquées utilisées par les attaquants pour éviter d’être détectés et exploiter des cibles sans méfiance. »
Le phishing et la compromission des e-mails professionnels (BEC) continuent d’être une voie privilégiée pour les adversaires cherchant à siphonner des informations et à lancer des attaques à motivation financière.
Les attaques BEC ont coûté aux organisations américaines et internationales une estimé à 55,49 milliards de dollars entre octobre 2013 et décembre 2023, avec plus de 305 000 incidents d’escroquerie signalés au cours de la même période, selon le Federal Bureau of Investigation (FBI) des États-Unis.
Cette évolution intervient dans un contexte de « dizaines de campagnes d’escroquerie » qui ont exploité des vidéos deepfake mettant en scène des personnalités publiques, des PDG, des présentateurs de nouvelles et de hauts fonctionnaires du gouvernement pour promouvoir de faux programmes d’investissement tels que l’IA quantique depuis au moins juillet 2023.
Ces campagnes se propagent via des publications et des publicités sur diverses plateformes de médias sociaux, dirigeant les utilisateurs vers de fausses pages Web qui les invitent à remplir un formulaire pour s’inscrire, après quoi un escroc les contacte par téléphone et leur demande de payer des frais initiaux de 250 $ pour accéder au service.
« L’escroc demande à la victime de télécharger une application spéciale afin qu’elle puisse « investir » davantage de ses fonds », ont déclaré les chercheurs de l’Unité 42. dit« Dans l’application, un tableau de bord semble afficher de petits bénéfices. »
« Enfin, lorsque la victime tente de retirer ses fonds, les escrocs exigent des frais de retrait ou invoquent une autre raison (par exemple, des problèmes fiscaux) pour ne pas pouvoir récupérer ses fonds.
« Les escrocs peuvent alors bloquer l’accès au compte de la victime et empocher les fonds restants, ce qui fait que la victime a perdu la majeure partie de l’argent qu’elle a mis sur la « plateforme ». »
Elle fait également suite à la découverte d’un acteur de menace furtif qui se présente comme une entreprise légitime et qui fait la publicité de services automatisés de résolution de CAPTCHA à grande échelle auprès d’autres cybercriminels et les aide à infiltrer les réseaux informatiques.
Surnommée Greasy Opal par Arkose Labs, cette « entreprise de cyberattaques » basée en République tchèque serait opérationnelle depuis 2009, offrant à ses clients une sorte de boîte à outils pour le bourrage d’identifiants, la création massive de faux comptes, l’automatisation du navigateur et le spam sur les réseaux sociaux au prix de 190 $ et 10 $ supplémentaires pour un abonnement mensuel.
Le portefeuille de produits couvre toute la gamme de la cybercriminalité, ce qui leur permet de développer un modèle commercial sophistiqué en regroupant plusieurs services. Les revenus de l’entité pour la seule année 2023 ne devraient pas être inférieurs à 1,7 million de dollars.
« Greasy Opal utilise une technologie OCR de pointe pour analyser et interpréter efficacement les CAPTCHA textuels, même ceux déformés ou masqués par le bruit, la rotation ou l’occlusion », a déclaré la société de prévention de la fraude noté dans une analyse récente. « Le service développe des algorithmes d’apprentissage automatique formés sur de vastes ensembles de données d’images. »
L’un de ses utilisateurs est Storm-1152, un groupe de cybercriminalité vietnamien précédemment identifié par Microsoft comme Vente de 750 millions de comptes Microsoft frauduleux et des outils via un réseau de faux sites Web et de pages de médias sociaux à d’autres acteurs criminels.
« Greasy Opal a bâti un conglomérat florissant d’entreprises à multiples facettes, offrant non seulement des services de résolution de CAPTCHA, mais également des logiciels d’optimisation du référencement et des services d’automatisation des médias sociaux qui sont souvent utilisés pour le spam, ce qui pourrait être un précurseur de la diffusion de logiciels malveillants », a déclaré Arkose Labs.
« Ce groupe d’acteurs malveillants reflète une tendance croissante des entreprises opérant dans une zone grise, tandis que leurs produits et services ont été utilisés pour des activités illégales en aval. »