Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Une attaque de ‘phishing’ ciblant les Nations Unies et des organisations humanitaires a été découverte par les analystes de Lookout Phishing AI

octobre 2019 par Jeremy Richards, Principal Security Intelligence Engineer chez Lookout

Lookout Phishing AI a détecté une campagne de ‘phishing’ (hameçonnage) fonctionnant sur mobile ciblant des organisations non gouvernementales à travers le monde, dont plusieurs organisations humanitaires des Nations Unies, telles que l’UNICEF. Lookout a contacté les forces de l’ordre et les organisations ciblées, mais au jour de la publication de cet article, cette attaque est toujours en cours.

Historique de la campagne de phishing

L’infrastructure en connexion avec cette attaque est active depuis mars 2019. Deux domaines ont hébergé le contenu de phishing, session-services[.]com et service-ssl-check[.]com, correspondant à deux adresses IP au cours de cette campagne : 111.90.142.105 et 111.90.142.91. Le bloc d’adresses et l’ASN (Autonomous System Number) IP associés sont considérés par Lookout comme de mauvaise réputation et sont connus pour avoir hébergé des malwares par le passé.

Fonctionnalités et détection de touches sur mobile

Lookout a identifié plusieurs techniques intéressantes employées durant cette campagne, dont la capacité de détecter des terminaux mobiles et d’enregistrer directement les frappes au clavier lorsqu’elles sont saisies dans le champ du mot de passe.

Dans le détail, du code Javascript sur les pages de phishing détecte si la page est téléchargée sur un terminal mobile et délivre dans ce cas un contenu spécifique. Les navigateurs web mobiles aident également involontairement à masquer les URLs de phishing en les tronquant, ce qui rend plus difficile pour les victimes de découvrir la supercherie.

Lookout a également collecté des cas d’utilisation de cette fonctionnalité d’enregistrement des touches embarquée dans le champ du mot de passe sur les pages de phishing, tels que, si une cible ne termine pas l’étape du login en appuyant sur la touche Accès ou si elle saisit involontairement un autre mot de passe, cette information est quand même renvoyée à l’infrastructure de commande et de contrôle utilisée par l’acteur malveillant.

Certificats SSL et sites d’aide humanitaire

Tous les principaux navigateurs alerteront leurs utilisateurs de l’emploi de certificats SSL périmés. Ces alertes étant extrêmement claires (et en fait souvent inmanquables) il serait quasi impossible d’inciter un utilisateur à saisir ses identifiants sur un site utilisant un certificat périmé. En conséquence, les certificats SSL périmés observés sur certains des sites de phishing peuvent fournir des informations sur la période exacte des attaques.

Les certificats SSL utilisés par l’infrastructure de phishing ont eu deux grandes périodes de validité : du 5 mai 2019 au 3 août 2019, et du 5 juin 2019 au 3 septembre 2019. Actuellement six certificats sont encore valides, et Lookout suspecte que ces attaques puissent être toujours en cours. Un tableau à la fin de cet article montre les organisations ciblées, les URLs qui les ciblent ainsi que les dates d’expiration des certificats SSL correspondants.

Exemple d’un des sites de phishing actifs découverts par les analystes de Lookout. En haut : La page d’accès légitime ciblée par cette ’attaque de phishing. En bas : Le site de phishing imitant la page d’accès Office365 légitime pour les employés de la Fédération Internationale de la Croix Rouge et du Croissant Rouge.

Lookout Phishing and Content Protection

La composante mobile découverte dans cette campagne est une preuve supplémentaire que les attaques de phishing ont évolué et ciblent désormais les terminaux mobiles. Le phishing mobile est devenu une source de risque en augmentation pour les entreprises, au moment où le monde post périmétrique et l’adoption massive des pratiques BYOD (Bring Your Own Device)estompent les limites entre les terminaux personnels et les réseaux d’entreprise, sans parler des multiples menaces en mode multicanal que présentent ces terminaux et la mobilité dans son ensemble.

Lookout Phishing & Content Protection va au delà des canaux de phishing tradtionnels et détecte des attaques de phishing provenant de tous les types de sources, dont les emails personnels et d’entreprise, les réseaux sociaux, les SMS et autres messageries, et les applications mobiles. Lookout détecte également l’accès à des sites malveillants, dont des sites de distribution de malwares et de spywares, des serveurs de commande et de contrôle, et des botnets – à partir d’URLs délivrés par n’importe quelle application ou canal sur le terminal mobile d’un utilisateur.

Organisation ciblée

UN World Food Programme fs.auth.wfp.org.adfs.ls.client-request-id.session-services.com

United Nations Development Programme logon.undp.org.adfs.ls.client-request-id.session-services.com

United Nations sso.united.un.org.adfs.ls.clinet-request-id.session-services.com

UNICEF login.unicef.org.adfs.ls.client-request-id.session-services.com

Heritage Foundation heritage.onelogin.com.login.service-ssl-check.com

International Federation of the Red Cross and Red Crescent Societies sts.ifrc.org.adfs.ls.client-request-id.session-services.com

United States Institute of Peace login.microsoftonline.com.common.oauth2.ip.session-services.com

Concern Worldwide login.microsoftonline.com.common.oauth2.co.session-services.com

Humanity and Inclusion (French) login.microsoftonline.com.common.oauth2.hi.session-services.com

Social Science Research Council Sign-On Portal sso.ssrc.org.adfs.ls.client-request-id.63f91e15.service-ssl-check.com

UC San Diego login.microsoftonline.com.common.oauth2.uc.session-services.com

East-West Center eastwestcenter.org.owa.auth.logon.aspx.replacecurrent.service-ssl-check.com

Unknown/ Inaccessible login.microsoftonline.com.common.oauth2.br.session-services.com

Unknown/ Inaccessible login.microsoftonline.com.common.oauth2.client.us.service-ssl-check.com

Unknown/ Inaccessible login.microsoftonline.com.common.oauth2.client.al.service-ssl-check.com

Unknown/ Inaccessible login.microsoftonline.com.common.oauth2.client.hi.service-ssl-check.com

Yahoo (German) login.yahoo.com.manage-account.src-ym.lang-en-us.session-services.com

AOL (German) login.aol.com.account.challenge.oauth.session-services.com




Voir les articles précédents

    

Voir les articles suivants