Les domaines suspects ou les sites web sans certificat HTTPS sont des signes avant-coureurs qu’il faut généralement rechercher lors d’une attaque de phishing. Toutefois, en utilisant des services de Cloud public bien connus tels que Google Cloud ou Microsoft Azure pour héberger leurs pages de phishing, les pirates peuvent surmonter cet obstacle et dissimuler leurs intentions malveillantes, améliorant ainsi leurs chances de piéger même les victimes les plus averties.

Ce fut le cas lors d’une attaque de phishing que nous avons découverte en janvier. L’attaque a commencé avec un document PDF accessibles sur Google Drive, qui comprenait un lien vers une page de phishing :

La page de phishing, hébergée sur storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html, demandait à l’utilisateur de se connecter avec son adresse email Office 365 ou celle de son entreprise :

En choisissant l’une des options, une fenêtre avec la page de connexion Outlook apparaît :

Après avoir saisi ses identifiants, l’utilisateur est redirigé vers un véritable rapport PDF publié par un cabinet de conseil mondial de renom :

Pendant toutes ces étapes, l’utilisateur ne se doute de rien puisque la page de phishing est hébergée sur le stockage dans le Cloud de Google. Cependant, le code source de la page de phishing révèle que la plupart des ressources sont chargées à partir d’un site web qui appartient aux pirates, prvtsmtp[.]com :

Lors de récentes attaques, même un utilisateur avisé aurait pu ne rien soupçonner, car les pirates ont commencé à utiliser Google Cloud Functions, un service qui permet l’exécution de code dans le Cloud. Dans ce cas, les ressources de la page de phishing ont été chargées à partir d’une instance Google Cloud Functions sans exposer les propres domaines malveillants des pirates :

L’enquête menée sur prvtsmtp[.]com a montré qu’il s’agissait d’une adresse IP ukrainienne (31.28.168[.]4). De nombreux autres domaines liés à cette attaque de phishing ont été résolus sur la même adresse IP, ou à des adresses différentes sur le même bloc réseau.

Cela nous a fourni un aperçu de l’activité malveillante des pirates au fil des ans, et nous a permis de voir comment ils ont développé leurs campagnes et introduit de nouvelles techniques.

Par exemple, nous avons noté qu’en 2018, les pirates hébergeaient directement les pages de phishing sur des sites web malveillants. Plus tard, avant de passer à Google Cloud Storage, ils ont utilisé Azure Storage pour héberger des pages de phishing :

Dans ce cas, les pirates semblent profiter de différents services de stockage dans le Cloud, une technique qui gagne en popularité en raison des difficultés à la détecter. Comme ces services ont généralement des utilisations légitimes et ne semblent pas suspects, les victimes et les administrateurs réseau ont plus de difficultés à identifier et repousser ces attaques.
Google a suspendu les comptes des pirates en janvier 2020 pour utilisation abusive des services, et a ensuite retiré toutes les URL associées aux comptes depuis cette date. Google enquête sur les pages de phishing et les retire lorsqu’elles sont signalées dans des flux de données Safe Browsing ou d’autres communications directes.

Cet incident illustre les efforts déployés par les escrocs et les criminels pour dissimuler leurs intentions malveillantes et tromper même les utilisateurs les plus avertis. Comme nous l’avons noté dans de nombreux articles précédents, les mesures pratiques que nous pouvons conseiller pour rester protégés contre ces attaques opportunistes sont :

1. Méfiez-vous des noms de domaine sosies, des fautes d’orthographe dans les emails et les sites web, et des expéditeurs d’emails inconnus.
2. Prenez garde aux fichiers reçus par email d’expéditeurs inconnus, surtout s’ils vous incitent à faire une certaine action que vous ne feriez pas habituellement.
3. Vérifiez que vous faites vos achats auprès d’une source authentique. NE cliquez PAS directement sur des liens de promotion dans des emails. Recherchez plutôt le détaillant souhaité sur Google, puis cliquez sur le lien figurant sur la page des résultats de Google.
4. Attention aux offres « spéciales ». « Un remède exclusif contre le coronavirus pour 150 euros » n’est généralement pas une opportunité d’achat fiable ou digne de confiance.
5. Veillez à ne pas réutiliser les mêmes mots de passe entre différentes applications et différents comptes.

Les entreprises devraient combattre les attaques zero-day avec une cyberarchitecture complète de bout en bout, capable de bloquer les sites de phishing et fournir des alertes en temps réel sur la réutilisation des mots de passe. La messagerie de vos utilisateurs est la porte d’entrée de votre entreprise. Les escroqueries de phishing ciblées dérobent 300 milliards de dollars aux entreprises chaque mois. Il faut donc envisager d’utiliser également des mesures de protection de la messagerie.