Les cadres supérieurs travaillant dans des organisations basées aux États-Unis sont ciblés par une nouvelle campagne de phishing qui exploite une boîte à outils de phishing populaire de type adversaire au milieu (AiTM) nommée EvilProxy pour mener des attaques de collecte d’informations d’identification et de piratage de compte.
Menlo Security a déclaré que l’activité a commencé en juillet 2023, en distinguant principalement les secteurs des services bancaires et financiers, de l’assurance, de la gestion immobilière et de l’immobilier, ainsi que de la fabrication.
“Les auteurs de la menace ont exploité une vulnérabilité de redirection ouverte sur la plateforme de recherche d’emploi ‘indeed.com’, redirigeant les victimes vers des pages de phishing malveillantes se faisant passer pour Microsoft”, a déclaré le chercheur en sécurité Ravisankar Ramprasad. dit dans un rapport publié la semaine dernière.
EvilProxy, documenté pour la première fois par Resecurity en septembre 2022, fonctionne comme un proxy inverse configuré entre la cible et une page de connexion légitime pour intercepter les informations d’identification, les codes d’authentification à deux facteurs (2FA) et les cookies de session pour détourner les comptes d’intérêt.
Les auteurs de la menace derrière le kit de phishing AiTM sont suivis par Microsoft sous le surnom de Storm-0835 et auraient des centaines de clients.
“Ces cybercriminels paient des frais de licence mensuels allant de 200 à 1 000 dollars américains et mènent des campagnes de phishing quotidiennes”, a expliqué le géant de la technologie. “Comme de nombreux acteurs malveillants utilisent ces services, il est peu pratique d’attribuer des campagnes à des acteurs spécifiques.”
Dans la dernière série d’attaques documentées par Menlo Security, les victimes reçoivent des e-mails de phishing contenant un lien trompeur pointant vers Indeed, qui, à son tour, redirige l’individu vers une page EvilProxy pour récupérer les informations d’identification saisies.
Ceci est accompli en profitant d’un faille de redirection ouvertelequel se produit lorsqu’un échec de validation des entrées de l’utilisateur amène un site Web vulnérable à rediriger les utilisateurs vers des pages Web arbitraires, contournant ainsi les garde-fous de sécurité.
“Le sous-domaine ‘t.indeed.com’ est fourni avec des paramètres permettant de rediriger le client vers une autre cible (exemple.com)”, a déclaré Ramprasad.
“Les paramètres de l’URL qui suivent le ‘?” sont une combinaison de paramètres uniques à Indeed.com et du paramètre cible dont l’argument est constitué de l’URL de destination. Par conséquent, l’utilisateur en cliquant sur l’URL finit par être redirigé vers exemple.com. Dans une attaque réelle, l’utilisateur serait redirigé vers un page de phishing.”
Ce développement intervient alors que les acteurs malveillants exploitent Dropbox pour créer de fausses pages de connexion avec des URL intégrées qui, lorsqu’elles sont cliquées, redirigent les utilisateurs vers de faux sites conçus pour voler les informations d’identification des comptes Microsoft dans le cadre d’un système de compromission de la messagerie professionnelle (BEC).
“C’est encore un autre exemple de la manière dont les pirates utilisent des services légitimes dans ce que nous appelons les attaques BEC 3.0”, a déclaré Check Point. dit. “Ces attaques sont incroyablement difficiles à arrêter et à identifier, tant pour les services de sécurité que pour les utilisateurs finaux.”
Microsoft, dans son rapport sur la défense numérique, a noté comment « les acteurs de la menace adaptent leurs techniques d’ingénierie sociale et leur utilisation de la technologie pour mener des attaques BEC plus sophistiquées et plus coûteuses » en abusant de l’infrastructure basée sur le cloud et en exploitant des relations commerciales de confiance.
Il s’agit également du service de police d’Irlande du Nord averti d’une augmentation des e-mails qishing, qui impliquent l’envoi d’un e-mail contenant un document PDF ou un fichier image PNG contenant un code QR dans le but de contourner la détection et d’inciter les victimes à visiter des sites malveillants et des pages de collecte d’informations d’identification.