Une nouvelle technique de phishing appelée « archiveur de fichiers dans le navigateur » peut être exploitée pour « émuler » un logiciel d’archivage de fichiers dans un navigateur Web lorsqu’une victime visite un domaine .ZIP.
« Avec cette attaque de phishing, vous simulez un logiciel d’archivage de fichiers (par exemple, WinRAR) dans le navigateur et utilisez un domaine .zip pour le rendre plus légitime », a déclaré le chercheur en sécurité mr.d0x. divulgué la semaine dernière.
Les acteurs de la menace, en un mot, pourraient créer une image réaliste page de destination d’hameçonnage en utilisant HTML et CSS qui imitent un logiciel d’archivage de fichiers légitime et l’hébergent sur un domaine .zip, élevant ainsi campagnes d’ingénierie sociale.
Dans un scénario d’attaque potentiel, un malfaiteur pourrait recourir à une telle supercherie pour rediriger les utilisateurs vers une page de collecte d’informations d’identification lorsqu’un fichier « contenu » dans la fausse archive ZIP est cliqué.
« Un autre cas d’utilisation intéressant est la liste d’un fichier non exécutable et lorsque l’utilisateur clique pour lancer un téléchargement, il télécharge un fichier exécutable », a noté mr.d0x. « Supposons que vous ayez un fichier ‘invoice.pdf’. Lorsqu’un utilisateur clique sur ce fichier, il lance le téléchargement d’un fichier .exe ou de tout autre fichier. »
En plus de cela, la barre de recherche dans l’explorateur de fichiers Windows peut apparaître comme un conduit sournois où la recherche d’un fichier .ZIP inexistant l’ouvre directement dans le navigateur Web si le nom du fichier correspond à un fichier légitime. domaine .zip.
« C’est parfait pour ce scénario puisque l’utilisateur s’attendrait à voir un fichier ZIP », a déclaré le chercheur. « Une fois que l’utilisateur aura effectué cette opération, il lancera automatiquement le domaine .zip contenant le modèle d’archive de fichiers, ce qui semble assez légitime. »
Le développement vient comme Google deployé huit nouveaux domaines de premier niveau (TLD), dont « .zip » et « .mov », qui ont soulevé des inquiétudes quant au fait qu’il pourrait inviter l’hameçonnage et d’autres types d’escroqueries en ligne.
En effet, .ZIP et .MOV sont tous deux des noms d’extension de fichier légitimes, ce qui peut amener les utilisateurs peu méfiants à visiter un site Web malveillant plutôt que d’ouvrir un fichier et de les inciter à télécharger accidentellement des logiciels malveillants.
« Les fichiers ZIP sont souvent utilisés dans le cadre de la phase initiale d’une chaîne d’attaque, généralement téléchargés après qu’un utilisateur accède à une URL malveillante ou ouvre une pièce jointe à un e-mail », a déclaré Trend Micro. a dit.
« Au-delà des archives ZIP utilisées comme charge utile, il est également probable que des acteurs malveillants utilisent des URL liées à ZIP pour télécharger des logiciels malveillants avec l’introduction du TLD .zip. »
Alors que réactions sont décidément mixte sur le risque de confusion entre noms de domaine et noms de fichiers, il est prévu d’équiper les acteurs de mauvaise foi d’un énième vecteur de phishing.
La découverte intervient également alors que la société de cybersécurité Group-IB a déclaré avoir détecté une augmentation de 25% de l’utilisation de kits de phishing en 2022, identifiant 3 677 kits uniques, par rapport à l’année précédente.
La tendance à utiliser Telegram pour collecter des données volées est particulièrement intéressante, doublant presque de 5,6 % en 2021 à 9,4 % en 2022.
Ce n’est pas tout. Les attaques de phishing deviennent également plus sophistiquées, les cybercriminels se concentrant de plus en plus sur l’emballage des kits avec des capacités d’évasion de détection telles que l’utilisation d’antibots et de répertoires dynamiques.
« Les opérateurs de phishing créent des dossiers de sites Web aléatoires qui ne sont accessibles que par le destinataire d’une URL de phishing personnalisée et ne sont pas accessibles sans le lien initial », a déclaré la société basée à Singapour. a dit.
« Cette technique permet aux hameçonneurs d’échapper à la détection et à la mise sur liste noire car le contenu de phishing ne se révélera pas. »
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Selon un nouveau rapport d’après Perception Point, le nombre d’attaques de phishing avancées tentées par des acteurs de la menace en 2022 a augmenté de 356 %. Le nombre total d’attaques a augmenté de 87 % au cours de l’année.
Cette évolution continue des schémas de phishing est illustrée par une nouvelle vague d’attaques qui ont été observées en exploitant des comptes Microsoft 365 compromis et des messages à autorisation restreinte (.rpmsg) des e-mails chiffrés pour collecter les informations d’identification des utilisateurs.
« L’utilisation de messages cryptés .rpmsg signifie que le contenu de phishing du message, y compris les liens URL, est caché des passerelles d’analyse des e-mails », ont déclaré les chercheurs de Trustwave, Phil Hay et Rodel Mendrez. expliqué.
Une autre instance mise en évidence par Proofpoint implique l’abus possible de fonctionnalités légitimes dans Microsoft Teams pour faciliter l’hameçonnage et la diffusion de logiciels malveillants, y compris l’utilisation d’invitations à des réunions après la compromission en remplaçant les URL par défaut par des liens malveillants via des appels d’API.
« Une approche différente que les attaquants peuvent utiliser, étant donné l’accès au jeton Teams d’un utilisateur, consiste à utiliser l’API ou l’interface utilisateur de Teams pour armer les liens existants dans les messages envoyés », a noté la société de sécurité d’entreprise.
« Cela pourrait être fait en remplaçant simplement les liens bénins par des liens pointant vers des sites Web néfastes ou des ressources malveillantes. »