hameçonnage

Le spear phishing est une escroquerie par e-mail ou par communication qui cible des individus, des organisations ou des entreprises spécifiques. Bien que leur objectif soit souvent de voler des données à des fins malveillantes, les cybercriminels peuvent également essayer d'installer des logiciels malveillants sur l'ordinateur d'une victime.

Dernièrement, le flux d'e-mails malveillants a augmenté, et avec lui, les attaques dirigées contre les collaborateurs d'une organisation.

Nous avions l'habitude de tomber sur des fichiers HTML entièrement codés, qui redirigeaient vers le faux site en question, sans intention de paraître réels ou de passer inaperçus. Ce n'est pas le cas du rapport que nous analysons dans cet article, où la créativité et la ruse peuvent jouer un rôle extrêmement important et déterminer si une attaque est réussie ou non.

analyse des menaces

Le jeudi 28 décembre à 13h02, nous avons reçu un e-mail (voir Illustration 1) contenant un fichier PDF nommé Paiement TEF/BACS Versement_074458.pdf.

Figure 1. E-mail d'hameçonnage

Lors de la visualisation du corps du message, on constate qu'il provient d'un domaine inconnu, cependant, il porte le nom [Entreprise]_EFT_Automated_Remittance, laissant entendre qu'il s'agit d'un service de l'organisation. Ces types de fonctionnalités sont courants dans les e-mails d'usurpation d'identité et peuvent même modifier le domaine de l'expéditeur via des techniques d'usurpation d'identité DMARC et perturber davantage l'utilisateur victime.

L'intention du PDF est d'apparaître comme une erreur du client lisant le fichier, indiquant que la tentative d'interprétation a échoué. L'adresse URL est liée à une zone considérable du document, ce qui permet d'augmenter la probabilité que l'utilisateur clique, même par erreur, et le dirige vers le site en question.

Figure 2. PDF malveillant

L'URL se compose initialement du fragment suivant :

https://www[.]prontario[.]org/mpower/campaigner/redirect.action

Liés à ce domaine, ils ont été associés à un grand nombre de fichiers PDF, avec des nomenclatures identiques, c'est pourquoi on suppose que c'est leur modus operandi.

Par la suite, une série de paramètres sont préalablement encodés en Base64 pour être obscurcis et échapper à l'analyse automatisée. Parmi elles, une URL contenant l'adresse e-mail du destinataire.

• u=https://itumotor.com.byonew/7Jzw8S/victime@dominio.cl

Lors de l'analyse du domaine du dernier paramètre, nous n'avons pas pu trouver d'informations, probablement parce qu'il a été téléchargé, ou que l'enregistrement DNS se trouve dans la première adresse.

Par la suite, le dernier lien vers lequel il est redirigé est hxxps://ipfs.io, à partir duquel un fichier JS est appelé qui, après un processus de désobscurcissement, présente le formulaire suivant.

Figure 3. JS obscurci

Figure 4. Sortie masquée

Les techniques et méthodes que les attaquants ont utilisées récemment pour échapper aux systèmes et analyses de sécurité automatisés sont devenues de plus en plus sophistiquées. Utiliser des méthodes d'obfuscation robustes et créatives, comme celle dont nous venons de parler, qui reposait sur une fonction qui écrirait le code HTML à interpréter par le navigateur, sans être détecté.

indicateurs d'engagement

URL

• hxxps://ipfs.io/
• hxxps://prontario.org/
• hxxps://itumotor.com.byonew/
• hxxps://itumotor.com.br/

IPv4

• 173.236.60.130
• 158.85.79.41

Si vous avez des questions ou des commentaires concernant la sécurité de votre entreprise, vous pouvez nous écrire, nous vous aiderons à analyser tout type d'information, avant que cela ne devienne un problème pour vous.