Les acteurs menaçants derrière le BazaAppel Des attaques de phishing par rappel ont été observées en utilisant Google Forms pour conférer au système un vernis de crédibilité.
La méthode est une « tentative d’élever l’authenticité perçue des e-mails malveillants initiaux », selon la société de cybersécurité Abnormal Security. dit dans un rapport publié aujourd’hui.
BazaCall (alias BazarCall), qui a été observé pour la première fois en 2020, fait référence à une série d’attaques de phishing dans lesquelles des messages électroniques usurpant l’identité d’avis d’abonnement légitimes sont envoyés à des cibles, les invitant à contacter un service d’assistance pour contester ou annuler le plan, sous peine d’obtenir facturé entre 50 $ et 500 $.
En induisant un faux sentiment d’urgence, l’attaquant convainc la cible par un appel téléphonique de lui accorder des capacités d’accès à distance à l’aide d’un logiciel de bureau à distance et, finalement, d’établir une persistance sur l’hôte sous couvert d’offrir de l’aide pour annuler l’abonnement supposé.
Certains des services populaires usurpés incluent Netflix, Hulu, Disney+, Masterclass, McAfee, Norton et GeekSquad.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Dans la dernière variante d’attaque détectée par Abnormal Security, un formulaire créé à l’aide de Google Forms est utilisé comme canal pour partager les détails du prétendu abonnement.
Il convient de noter que le formulaire a ses accusés de réception activés, qui envoient une copie de la réponse au répondant du formulaire par e-mail, afin que l’attaquant puisse envoyer une invitation à remplir lui-même le formulaire et recevoir les réponses.
« Comme l’attaquant a activé l’option de réception de réponse, la cible recevra une copie du formulaire complété, que l’attaquant a conçu pour ressembler à une confirmation de paiement pour le logiciel Norton Antivirus », a déclaré le chercheur en sécurité Mike Britton.
L’utilisation de Google Forms est également astucieuse dans la mesure où les réponses sont envoyées depuis l’adresse « forms-receipts-noreply@google[.]com », qui est un domaine de confiance et, par conséquent, a plus de chances de contourner les passerelles de messagerie sécurisées, comme en témoigne une récente campagne de phishing Google Forms découverte par Cisco Talos le mois dernier.
« De plus, Google Forms utilise souvent des URL générées dynamiquement », a expliqué Britton. « La nature en constante évolution de ces URL peut échapper aux mesures de sécurité traditionnelles qui utilisent l’analyse statique et la détection basée sur les signatures, qui s’appuient sur des modèles connus pour identifier les menaces. »
Un acteur menaçant cible les recruteurs avec la porte dérobée More_eggs
La divulgation arrive alors que Proofpoint a révélé une nouvelle campagne de phishing ciblant les recruteurs avec des e-mails directs qui mènent finalement à une porte dérobée JavaScript connue sous le nom de More_eggs.
La société de sécurité d’entreprise a attribué la vague d’attaques à un « acteur malveillant compétent et motivé par des raisons financières » qu’elle considère comme TA4557qui a l’habitude d’abuser des services de messagerie légitimes et de proposer de faux emplois par courrier électronique pour finalement fournir la porte dérobée More_eggs.
« Plus précisément dans la chaîne d’attaque qui utilise la nouvelle technique d’e-mail direct, une fois que le destinataire répond à l’e-mail initial, l’acteur a été observé en train de répondre avec une URL renvoyant vers un site Web contrôlé par l’acteur se faisant passer pour un CV de candidat », Proofpoint dit.
« Alternativement, l’acteur a été observé en train de répondre avec une pièce jointe PDF ou Word contenant des instructions pour visiter le faux site Web de CV. »
More_eggs est proposé sous forme de malware en tant que service et est utilisé par d’autres groupes cybercriminels de premier plan tels que Cobalt Group (alias Cobalt Gang), Evilnum et FIN6. Plus tôt cette année, eSentire a lié le malware à deux opérateurs de Montréal et de Bucarest.