{"id":846,"date":"2022-12-30T19:33:38","date_gmt":"2022-12-30T19:33:38","guid":{"rendered":"https:\/\/grupotech.cl\/?p=846"},"modified":"2025-09-05T21:24:44","modified_gmt":"2025-09-05T21:24:44","slug":"spear-phishing-caso-real","status":"publish","type":"post","link":"https:\/\/grupotech.cl\/fr\/blog\/spear-phishing-caso-real\/","title":{"rendered":"Spear Phishing \u2013 Un cas r\u00e9el"},"content":{"rendered":"

hame\u00e7onnage<\/h1>\n

Le spear phishing est une escroquerie par e-mail ou par communication qui cible des individus, des organisations ou des entreprises sp\u00e9cifiques. Bien que leur objectif soit souvent de voler des donn\u00e9es \u00e0 des fins malveillantes, les cybercriminels peuvent \u00e9galement essayer d'installer des logiciels malveillants sur l'ordinateur d'une victime.<\/strong><\/p>\n

Derni\u00e8rement, le flux d'e-mails malveillants a augment\u00e9, et avec lui, les attaques dirig\u00e9es contre les collaborateurs d'une organisation.<\/p>\n

Nous avions l'habitude de tomber sur des fichiers HTML enti\u00e8rement cod\u00e9s, qui redirigeaient vers le faux site en question, sans intention de para\u00eetre r\u00e9els ou de passer inaper\u00e7us. Ce n'est pas le cas du rapport que nous analysons dans cet article, o\u00f9 la cr\u00e9ativit\u00e9 et la ruse peuvent jouer un r\u00f4le extr\u00eamement important et d\u00e9terminer si une attaque est r\u00e9ussie ou non.<\/p>\n

analyse des menaces<\/h2>\n

Le jeudi 28 d\u00e9cembre \u00e0 13h02, nous avons re\u00e7u un e-mail (voir Illustration 1) contenant un fichier PDF nomm\u00e9 Paiement TEF\/BACS<\/em> Versement_074458.pdf<\/em>.<\/p>\n

\"\"

Figure 1. E-mail d'hame\u00e7onnage<\/p>\n

Lors de la visualisation du corps du message, on constate qu'il provient d'un domaine inconnu, cependant, il porte le nom [Entreprise]_EFT_Automated_Remittance<\/em>, laissant entendre qu'il s'agit d'un service de l'organisation. Ces types de fonctionnalit\u00e9s sont courants dans les e-mails d'usurpation d'identit\u00e9 et peuvent m\u00eame modifier le domaine de l'exp\u00e9diteur via des techniques d'usurpation d'identit\u00e9 DMARC et perturber davantage l'utilisateur victime.<\/p>\n

L'intention du PDF est d'appara\u00eetre comme une erreur du client lisant le fichier, indiquant que la tentative d'interpr\u00e9tation a \u00e9chou\u00e9. L'adresse URL est li\u00e9e \u00e0 une zone consid\u00e9rable du document, ce qui permet d'augmenter la probabilit\u00e9 que l'utilisateur clique, m\u00eame par erreur, et le dirige vers le site en question.<\/p>\n

\"\"

Figure 2. PDF malveillant<\/p>\n

L'URL se compose initialement du fragment suivant\u00a0:<\/p>\n

https:\/\/www[.]prontario[.]org\/mpower\/campaigner\/redirect.action<\/em><\/p>\n

Li\u00e9s \u00e0 ce domaine, ils ont \u00e9t\u00e9 associ\u00e9s \u00e0 un grand nombre de fichiers PDF, avec des nomenclatures identiques, c'est pourquoi on suppose que c'est leur modus operandi.<\/p>\n

Par la suite, une s\u00e9rie de param\u00e8tres sont pr\u00e9alablement encod\u00e9s en Base64 pour \u00eatre obscurcis et \u00e9chapper \u00e0 l'analyse automatis\u00e9e. Parmi elles, une URL contenant l'adresse e-mail du destinataire.<\/p>\n