Des cybercriminels utilisent Dropbox pour voler les identifiants d’employés du secteur financier
mai 2024 par Kaspersky
Les chercheurs de Kaspersky ont mis au jour un stratagème de phishing déployé en plusieurs étapes prenant pour cible des employés chargés de traiter des documents financiers. Dans un premier temps, les victimes reçoivent un mail provenant de l’adresse légitime d’un cabinet d’audit. Cette première interaction a pour but de rendre le destinataire moins méfiant : il s’agit d’une étape préparatoire pour faciliter la mise en œuvre de l’attaque. Les personnes prises pour cible reçoivent ensuite une notification de Dropbox, contenant des liens malveillants vers des archives où les cybercriminels ont déposé des fichiers de phishing destinés à voler des informations d’identification.
L’arnaque commence de cette façon : les agents malveillants envoient à leurs victimes potentielles un mail provenant soi-disant d’une société d’audit légitime. Ces messages sont envoyés à partir d’une adresse authentifiée, vraisemblablement détournée par les attaquants. Ces derniers utilisent des tactiques d’ingénierie sociale pour faire baisser la garde des victimes et les préparer à recevoir une archive Dropbox.
Première étape du stratagème : la victime reçoit un courriel d’un prétendu « auditeur »
« Aux yeux de ceux qui le lisent, l’email semble légitime et écrit par un être humain. Les logiciels de cybersécurité ne relèvent pas d’irrégularité non plus. Le prétexte selon lequel une société d’audit dispose d’informations relatives au destinataire est plausible, tout comme la clause de non-responsabilité concernant le partage d’informations confidentielles. En outre, l’e-mail ne contient ni lien ni pièce jointe et provient d’une adresse d’entreprise facilement vérifiable en ligne, ce qui le rend presque impossible à détecter par un filtre anti-spam », explique Roman Dedenok, expert en sécurité chez Kaspersky.
Le seul élément suspect pouvant être relevé dans le mail concerne le service « Dropbox Application Secured Upload » mentionné par l’auteur. Ce service n’existe pas. Bien que les fichiers téléchargés sur Dropbox puissent être protégés par un mot de passe, il n’existe actuellement pas de dispositifs de sécurité supplémentaires.
À la suite de cet e-mail, les auteurs envoient aux victimes une notification officielle de Dropbox. Si le destinataire s’est déjà montré enclin à répondre au message initial, il est d’autant plus probable qu’il suive le lien pour consulter le document.
La notification Dropbox
En cliquant sur le lien, un document flouté apparaît, derrière une boîte de dialogue demandant au destinataire de s’authentifier. Le bouton cliquable contient un lien malveillant, redirigeant l’utilisateur vers un formulaire où il doit rentrer son identifiant et son mot de passe professionnels, permettant ainsi aux cybercriminels de mettre la main sur ces informations.
Le fichier PDF malveillant déposé sur Dropbox, imitant une demande d’authentification
Kaspersky identifie ces attaques comme étant des attaques ciblées, s’articulant autour de cas isolés.