Cybersécurité : comment les ouragans déclenchent aussi des cyberattaques
Publié par La rédaction le | Mis à jour le
Proofpoint dévoile que lors de l'ouragan Michael, ce mois d'octobre, les cybercriminels ont utilisé des leurres pour obtenir des lettres de créance d'entreprise plutôt que de détourner directement de l'argent. Silicon.fr publie les découvertes des chercheurs du spécialiste de la sécurité.
Comme souvent lors d'événements majeurs qui attirent l'attention du public, les chercheurs de Proofpoint ont observé un certain nombre de leurres de phishing exploitant l' ouragan Michael.
Cependant, alors que les programmes de phishing liés aux catastrophes naturelles tentent souvent de voler des numéros de carte de crédit utilisés pour de faux dons ou de voler des fonds directement via des dons frauduleux, bon nombre de ces campagnes récentes étaient axées sur le vol de identifiants par courrier électronique.
Il est intéressant de noter que les campagnes ont également exploité le stockage d'objets blob sur l'infrastructure Microsoft Azure pour héberger à moindre coût des modèles de phishing.
Campagnes de phishing
Un grand nombre des récentes campagnes de phishing avec les leurres « Hurricane Michael » ont utilisé des documents PDF joints à un courrier électronique. Ils incluent des noms de fichiers tels que:
Comme le montrent les figures 1 et 2, les leurres sont assez génériques et reposent sur des liens intégrés et une ingénierie sociale pour inciter les destinataires à cliquer. Les deux captures montrent des marques volées de vraies agences gouvernementales.
Figure 1: Un leurre PDF avec un lien intégré et une marque volée (Cabinet de transport du Kentucky)
Figure 2: Un autre leurre PDF avec un lien intégré et une marque volée (Virginia Department of Transportation)
En cliquant sur les icônes liées, un lien bit.ly (raccourcisseur de lien) apparaît, puis le dernier lien vers la page de destination du phishing.
Les taux de clics semblent relativement faibles pour ces liens, avec un peu plus de 500 clics pour les trois URL observées associées à cette campagne (Figure 3).
Figure 3: Statistiques concernant les clics sur les liens des PDF associés à ces campagnes de phishing
Malgré les faibles taux de clic globaux, toutefois, les URL finales présentent un intérêt:
Il s'agit de pages de phishing HTTPS uniquement et hébergées sur des domaines Windows [.] Net officiels. Nous observons des pages de phishing hébergées Microsoft Azure blob storage depuis août de cette année. Cette tactique est peu coûteuse et particulièrement efficace pour les escroqueries prétendant être des services Microsoft légitimes.
Le champ CommonName du certificat SSL / TLS présent dans ce cas est un certificat générique qui ne peut pas être utilisé comme moyen de détection efficace, comme le montre la figure 4. Il existe d'autres moyens de détecter l'activité malveillante, tels que les requêtes DNS en inspectant le TLS. indication du nom du serveur.
Figure 4: Certificat générique émis pour tous les domaines (bons et mauvais) sur ce domaine
Parmi les autres domaines d'hameçonnage récemment observés qui abusent de l'hébergement blob de Microsoft Azure, citons:
La page de destination de phishing résultante est également un modèle relativement générique qui tente de tromper les victimes en leur demandant de donner leurs identifiants de messagerie Web pour le document promis relatif aux ouragans.
Figure 5: page de destination d'hameçonnage utilisant l'hébergement de blogs Microsoft Azure
Nous avons détecté plusieurs autres atterrissages liés à cette menace abusant de l'hébergement de blob bleu azur de Microsoft. Des exemples de ces pages qui abusent également d'autres marques fréquemment phishing apparaissent aux figures 6 à 9.
Figure 6: Une page de destination de phishing exploitant une infrastructure similaire et une image de marque volée pour le vol de justificatifs d'identité de messagerie
Figure 7: Une page de destination de phishing exploitant une infrastructure similaire et une image de marque volée pour le vol d'informations d'identification Microsoft Office 365
Figure 8: Une page de destination de phishing exploitant une infrastructure similaire et la marque Dropbox volée pour le vol de justificatifs d'identité de messagerie
Figure 9: Une page de destination de phishing exploitant une infrastructure similaire et l'image de marque Docusign volée pour le vol de justificatifs d'identité de messagerie
Conclusion
Les fraudes et les escroqueries apparaissent toujours autour d'événements majeurs, que ce soit les Jeux olympiques, les élections présidentielles ou les ouragans. Ces événements servent de leurres pour le phishing, les transactions frauduleuses et le vol direct.
Dans ce cas, les schémas de phishing se distinguent par le fait que les auteurs de la menace dirigent les destinataires vers des pages de vol de justificatif d'identité pour les courriers électroniques professionnels et personnels plutôt que pour le vol de carte de crédit ou financier.
Ceci est cohérent avec les augmentations spectaculaires que nous avons récemment observées dans le phishing par les entreprises. Toutefois, cela devrait également servir d'avertissement aux destinataires habitués à saisir les informations d'identification de messagerie pour se connecter à plusieurs services.
Les auteurs de la menace profitent à la fois de cette désensibilisation et de notre volonté de faire du bien. Bien qu'aucune d'entre elles ne soit une nouvelle tactique en soi, cette combinaison intéresse les défenseurs et les victimes potentielles. Ceux qui souhaitent faire des dons de bienfaisance ou demander de l'aide doivent se rendre directement sur les sites Web associés à des organisations de secours en cas de catastrophe connues et ne doivent jamais entrer de données d'identification de messagerie Web ou de médias sociaux pour permettre des dons.
[Note de la rédaction ] Suite à nos sollicitations, Proofpoint assure ne disposer d'aucune donnée précise sur l'éventuelle exploitation des inondations de l'Aude pour mener des cyberattaques.