Les chercheurs en sécurité partagent une nouvelle tendance dans les campagnes de phishing qui utilisent désormais les URL dites IPFS comme charge utile.
La découverte vient des chercheurs de TrustWave qui sont tombés sur un site appelé la page Chameleon Phishing. Les sites Web comme celui-ci peuvent changer leur arrière-plan et leur logo en fonction du domaine de l'utilisateur, ce qui le rend très efficace dans les tentatives de phishing. La page Chameleon Phishing est stockée dans le soi-disant IPFS (Système de fichiers interplanétaire). Une analyse des URL utilisées a révélé que les acteurs de la menace utilisent de plus en plus des e-mails de phishing contenant des URL IPFS.
Pourquoi les opérateurs de phishing utilisent IPFS?
Plus que 3,000 ces e-mails ont été découverts pour le passé 90 jours confirmant la théorie selon laquelle IPFS est une plate-forme préférée pour opérateurs de phishing.
Qu'est-ce qu'IPFS? Abréviation de système de fichiers interplanétaire, la plate-forme a été créée en 2015 et est distribué, système de partage de fichiers poste à poste pour le stockage de fichiers, sites, applications, et les données associées. Le contenu stocké est disponible via des pairs qui peuvent à la fois stocker et/ou transférer des informations.
Plus précisement, le système peut localiser un fichier via son adresse de contenu plutôt que son emplacement. Pour pouvoir accéder à n'importe quel contenu, les utilisateurs ont besoin d'un nom d'hôte de passerelle et de l'identifiant de contenu (CID) du fichier. Le système vise à maintenir un Web décentralisé qui repose sur des communications entre pairs.
Si, comment les hameçonneurs en profitent-ils ?? Dans IPFS, les fichiers partagés sont distribués à d'autres machines d'une manière similaire au fonctionnement des nœuds, et en tant que tel, ils sont accessibles en cas de besoin. En outre, le fichier peut être récupéré à partir de n'importe quelle note participante sur le réseau qui a le contenu demandé, les chercheurs ont expliqué. Cela rend les données persistantes dans l'environnement IPFS, tandis que dans un réseau centralisé où les données ne sont pas accessibles si le serveur est en panne ou si un lien est rompu.
Voici le premier avantage pour les campagnes de phishing. "Supprimer le contenu de phishing stocké sur IPFS peut être difficile car même s'il est supprimé dans un nœud, il peut encore être disponible sur d'autres nœuds,»Le rapport note. En outre, il peut être difficile de localiser le trafic malveillant dans un réseau peer-to-peer légitime. "Avec la persistance des données, réseau robuste, et peu de réglementation, IPFS est peut-être une plate-forme idéale pour les attaquants pour héberger et partager du contenu malveillant," les chercheurs ajoutée.
Cette semaine, les chercheurs en sécurité d'IronNet ont signalé l'émergence de une nouvelle plateforme de phishing en tant que service. Appelé RobinBanks, la plate-forme propose des kits de phishing prêts à l'emploi permettant d'accéder aux détails financiers et aux informations personnelles d'individus aux États-Unis, la Grande-Bretagne., Canada, et de l'Australie.