Des chercheurs de Microsoft ont détecté une nouvelle campagne de phishing utilisant des liens de redirection ouverts (ouvrir les redirections) dans les e-mails pour tenter de contourner les logiciels de sécurité et inciter les utilisateurs à visiter des pages malveillantes.
Liens de redicor ouverts combinés à l'ingénierie sociale
L'attaque est basée sur la combinaison de liens de redirection ouverts et d'astuces d'ingénierie sociale se faisant passer pour des outils de productivité populaires pour inciter les utilisateurs à cliquer.. Une fois qu'un utilisateur clique sur ledit lien, une série de redirections se produisent, y compris une page de vérification CAPTCHA. Le but de cette page est d'ajouter "un sentiment de légitimité" et d'échapper à l'analyse automatisée, et éventuellement amener l'utilisateur à une fausse page de connexion. L'objectif final est clair - compromis sur les informations d'identification. Peu dit, les informations d'identification collectées peuvent être utilisées comme arme dans d'autres attaques contre l'organisation compromise.
Pourquoi les opérateurs de phishing utilisent des redirections ouvertes?
En fait, les redirections ouvertes dans les communications par e-mail sont assez courantes parmi les organisations. Les spécialistes des ventes et du marketing les utilisent pour diriger les clients vers des pages de destination spécifiques et suivre les taux de clics. Bien sûr, les attaquants ont trouvé un moyen d'exploiter cette fonctionnalité en la liant à une URL dans un domaine de confiance et en incorporant l'URL malveillante finale en tant que paramètre, Microsoft a déclaré. En faisant cela, les opérateurs de phishing peuvent empêcher les utilisateurs et les solutions de sécurité de détecter rapidement d'éventuelles intentions malveillantes.
"Par exemple, les utilisateurs formés pour survoler les liens et inspecter les artefacts malveillants dans les e-mails peuvent toujours voir un domaine auquel ils font confiance et donc cliquer dessus. également, les solutions de passerelle de messagerie traditionnelles peuvent laisser passer les e-mails de cette campagne par inadvertance car leurs paramètres ont été formés pour reconnaître l'URL principale sans nécessairement vérifier les paramètres malveillants qui se cachent à la vue de tous," le rapport a expliqué.
Une autre chose notable à propos de cette campagne de phishing est l'utilisation de divers domaines pour son infrastructure d'expéditeur, également fait dans le but d'échapper à la détection.
« Ceux-ci incluent les domaines de messagerie gratuits de nombreux domaines de premier niveau de code de pays (ccTLD), domaines légitimes compromis, et algorithme généré par le domaine appartenant à l'attaquant (DGA) domaines," a rapporté la société. Au moins 350 des domaines de phishing uniques ont été détectés jusqu'à présent dans cette seule campagne. Ce détail important révèle la détermination et les efforts déployés par les attaquants dans la campagne, indiquant ainsi « des gains potentiellement importants ».
En Février, des chercheurs ont découvert une autre nouvelle technique utilisée par les opérateurs de phishing: un nouveau technique d'obscurcissement qui utilise le code Morse pour dissimuler des URL malveillantes dans une pièce jointe à un e-mail. C'était peut-être le premier cas d'acteurs menaçants utilisant le code Morse de cette manière.