Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les utilisateurs de WeTransfer cibles d’une campagne de phishing identifiée par Infoblox

octobre 2020 par Infoblox

Infoblox vient d’identifier une campagne de phishing via des spams malveillants (malspam), qui contiennent un fichier HTML capable d’exfiltrer des identifiants. Les attaquants utilisent des messages génériques dans leurs emails, mais le fichier HTML cible spécifiquement le service de partage de fichiers WeTransfer.
Le fichier HTML malveillant utilisé dans cette campagne n’appartient à aucune famille de malwares précédemment identifiée par Infoblox. Sa mission est de collecter et d’exfiltrer des identifiants WeTransfer.

Dans cette campagne, les acteurs malveillants ont envoyé à leurs victimes un message ayant pour sujet Request for Quotation-Urgent !!! (Demande de devis Urgent !). Le corps du message était vide, mais l’email contenait un fichier HTML en pièce jointe appelé order - Copy.html.

Le fichier HTML intègre une page HTML secondaire dans son contenu. Lorsque la victime ouvre la pièce jointe, la page HTML secondaire s’ouvre et alerte l’utilisateur qu’il peut accéder à un document sécurisé et qu’il doit se connecter à WeTransfer pour le visualiser. Si l’utilisateur se connecte avec succès au service WeTransfer, un ‘iframe’ intégré au sein de la seconde page HTML collecte et transfère les identifiants vers un URL contrôlé par l’attaquant. Toutefois, si l’utilisateur ne parvient pas à se connecter, la page HTML l’alerte que ses identifiants sont invalides.

Cette campagne de phishing s’appuie uniquement sur des tactiques d’ingénierie sociale pour persuader les victimes de révéler leurs identifiants.

Infoblox recommande les précautions suivantes pour réduire les risques d’attaque réussie :

• Informer régulièrement les utilisateurs sur les tactiques employées par les attaques de phishing et les moyens de les contrer.
• Toujours considérer comme suspects des emails vides ou sans objet précis, spécialement ceux qui incitent à ouvrir une pièce jointe ou cliquer sur un lien.
• Toujours examiner les types de fichiers en attachement, et ne jamais ouvrir des fichiers pouvant être des scripts (.vbs, .cmd, .bat), un fichier de raccourci Internet ou un fichier compressé. Ces derniers sont fréquemment utilisés par les attaquants pour contourner les méthodes de détection traditionnelles basées sur des signatures, et pour masquer l’identité réelle du fichier malveillant.


Voir les articles précédents

    

Voir les articles suivants