Les outils de détection d’URL malveillantes sont efficaces… à condition de trouver les URL à analyser.
Cofense dressait récemment ce constat dans le cadre d’un focus sur une campagne de phishing.
Pour passer sous les radars, cette campagne exploitait un QR code intégré dans des e-mails. Les utilisateurs étaient dirigés vers une fausse page de connexion SharePoint, prétendument pour consulter un « document important ».
Le point terminal de l’attaque se situait sur les terminaux mobiles, souvent moins bien protégés, comme l’ont notamment relevé des chercheurs de Carnegie Mellon dans une étude sur le phénomène dit du « QRishing ».
Autre moyen de contourner l’analyse des URL : les captchas, du nom de ces systèmes de filtrage des robots qui consiste, pour l’utilisateur d’un service en ligne, à prouver qu’il est bien un humain.
Cofense vient d’y consacrer une publication.
Tout part d’un e-mail contenant un lien censé permettre d’écouter un message vocal.
L’utilisateur est en fait dirigé vers une page « intermédiaire » contenant un captcha. L’analyse automatique des URL s’en tient à cette page, qui paraît d’autant moins suspecte qu’elle est hébergée sur le cloud de Microsoft (service Stockage Blob).
Une fois le captcha validé, s’ouvre la page de phishing. Elle imite un formulaire de connexion aux services Microsoft.
Une campagne repérée voilà environ un an exploitait les mêmes ressorts. Plus précisément, une fausse page de connexion à Office 365 hébergée sur Azure. Le certificat SSL était par là même signalé comme fourni par Microsoft, donc de confiance.
En début d’année, lumière avait été faite sur une autre campagne de phishing impliquant des captchas.
Elle ciblait les clients d’une banque polonaise à travers des fausses alertes de transactions.
Les victimes étaient invitées à cliquer sur un lien pour confirmer ces opérations.
En fonction de la configuration du navigateur pouvait s’afficher une erreur 404 ou un reCAPTCHA (nom que Google donne à son implémentation du dispositif).
Dans le deuxième cas se lançait le téléchargement du cheval de Troie BankBot, en archive .zip ou en .apk sur les terminaux Android.
Photo d’illustration © ra2studio – Shutterstock.com
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…
