Une campagne sophistiquée de phishing mobile ciblant les demandeurs d’emploi dans le but d’installer des logiciels malveillants dangereux sur leurs téléphones a été révélée mardi par des chercheurs en sécurité.
La campagne découverte par Zimperium zLabs cible les téléphones mobiles Android et vise à diffuser une variante du cheval de Troie bancaire Antidot que les chercheurs ont baptisé AppLite Banker.
« La capacité du cheval de Troie bancaire AppLite à voler les informations d’identification d’applications critiques telles que les opérations bancaires et les crypto-monnaies rend cette arnaque très dangereuse », a déclaré Jason Soroko, chercheur principal chez Sectigo, un fournisseur de gestion du cycle de vie des certificats à Scottsdale, en Arizona.
« Alors que le phishing mobile continue de croître, il est crucial que les individus restent vigilants face aux offres d’emploi non sollicitées et vérifient toujours la légitimité des liens avant de cliquer », a-t-il déclaré à TechNewsWorld.
« Le cheval de Troie bancaire AppLite nécessite des autorisations via les fonctionnalités d’accessibilité du téléphone », a ajouté James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4, un fournisseur de formation de sensibilisation à la sécurité à Clearwater, en Floride.
« Si l’utilisateur ne le sait pas », a-t-il déclaré à TechNewsWorld, « il peut autoriser un contrôle total sur son appareil, en mettant les données personnelles, la localisation GPS et d’autres informations à la disposition des cybercriminels ».
Tactique de « boucherie de porcs »
Dans un blog sur le site Internet de Zimperium, le chercheur Vishnu Pratapagiri a expliqué que les attaquants se présentent comme des recruteurs, attirant les victimes sans méfiance avec des offres d’emploi. Dans le cadre de leur processus d’embauche frauduleux, a-t-il poursuivi, la campagne de phishing incite les victimes à télécharger une application malveillante qui agit comme un compte-gouttes, pour finalement installer AppLite.
« Les attaquants à l’origine de cette campagne de phishing ont fait preuve d’un niveau remarquable d’adaptabilité, en tirant parti de stratégies d’ingénierie sociale diverses et sophistiquées pour cibler leurs victimes », a écrit Pratapagiri.
L’une des tactiques clés employées par les attaquants consiste à se faire passer pour un recruteur ou des représentants des ressources humaines d’organisations bien connues, a-t-il poursuivi. Les victimes sont incitées à répondre à des courriels frauduleux, soigneusement conçus pour ressembler à des offres d’emploi authentiques ou à des demandes d’informations supplémentaires.
« Les gens sont désespérés de trouver un emploi, alors lorsqu’ils voient du travail à distance, un bon salaire, de bons avantages sociaux, ils répondent par SMS », a noté Steve Levy, conseiller principal en talents chez DHI Group, un marché de carrière pour les candidats à la recherche de postes et d’employeurs axés sur la technologie. cherche à embaucher des talents technologiques à l’échelle mondiale, à Centennial, Colorado.
« Cela déclenche la boule de neige », a-t-il déclaré à TechNewsWorld. «Cela s’appelle la boucherie de porcs. Les agriculteurs font grossir un cochon petit à petit, donc quand vient le temps de le cuisiner, il est vraiment gros et juteux.
Après la communication initiale, Pratapagiri a expliqué que les acteurs de la menace incitent les victimes à télécharger une prétendue application CRM Android. Bien qu’elle semble légitime, cette application fonctionne comme un compte-gouttes malveillant, facilitant le déploiement de la charge utile principale sur l’appareil de la victime.
Changement radical vers les attaques mobiles
Stephen Kowski, directeur technique de SlashNext, une société de sécurité informatique et réseau basée à Pleasanton, en Californie, a noté que la campagne AppLite représente une évolution sophistiquée des techniques vues pour la première fois dans Operation Dream Job, une campagne mondiale menée en 2023 par le tristement célèbre Lazarus nord-coréen. groupe.
Alors que l’Opération Dream Job originale utilisait des messages LinkedIn et des pièces jointes malveillantes pour cibler les demandeurs d’emploi dans les secteurs de la défense et de l’aérospatiale, les attaques actuelles se sont étendues pour exploiter les vulnérabilités des appareils mobiles via des pages de candidatures frauduleuses et des chevaux de Troie bancaires, a-t-il expliqué.
« Le changement radical vers les attaques axées sur les mobiles est démontré par le fait que 82 % des sites de phishing ciblent désormais spécifiquement les appareils mobiles, et 76 % d’entre eux utilisent HTTPS pour paraître légitimes », a-t-il déclaré à TechNewsWorld.
« Les acteurs de la menace ont affiné leurs tactiques d’ingénierie sociale, allant au-delà des simples logiciels malveillants basés sur des documents pour déployer des chevaux de Troie bancaires mobiles sophistiqués capables de voler des informations d’identification et de compromettre les données personnelles, démontrant comment ces campagnes continuent d’évoluer et de s’adapter pour exploiter de nouvelles surfaces d’attaque », Kowski. expliqué.
« Nos données internes montrent que les utilisateurs sont quatre fois plus susceptibles de cliquer sur des e-mails malveillants lorsqu’ils utilisent des appareils mobiles plutôt que des ordinateurs de bureau », a ajouté Mika Aalto, co-fondateur et PDG de Hoxhunt, un fournisseur de solutions de sensibilisation à la sécurité des entreprises à Helsinki.
« Ce qui est encore plus préoccupant, c’est que les utilisateurs mobiles ont tendance à cliquer sur ces e-mails malveillants à un rythme encore plus élevé tard dans la nuit ou très tôt le matin, ce qui suggère que les gens sont plus vulnérables aux attaques sur mobile lorsque leurs défenses sont en panne, « , a-t-il déclaré à TechNewsWorld. « Les attaquants en sont clairement conscients et font continuellement évoluer leurs tactiques pour exploiter ces vulnérabilités. »
Cette nouvelle vague de cyber-escroqueries souligne l’évolution des tactiques utilisées par les cybercriminels pour exploiter les demandeurs d’emploi motivés à faire plaisir à un employeur potentiel, a observé Soroko.
« En capitalisant sur la confiance des individus dans des offres d’emploi apparemment légitimes, les attaquants peuvent infecter les appareils mobiles avec des logiciels malveillants sophistiqués qui ciblent les données financières », a-t-il déclaré. « L’utilisation d’appareils Android, en particulier, met en évidence la tendance croissante des campagnes de phishing spécifiques aux mobiles. »
« Faites attention à ce que vous chargez sur un appareil Android », a-t-il prévenu.
Les entreprises ont elles aussi besoin de protection
Levy de DHI a souligné que les attaques contre les demandeurs d’emploi ne se limitent pas aux téléphones portables. « Je ne pense pas que cela soit simplement relégué aux téléphones portables », a-t-il déclaré. « Nous voyons cela sur toutes les plateformes sociales. Nous le voyons sur LinkedIn, Facebook, TikTok et Instagram.
« Non seulement ces escroqueries sont courantes, mais elles sont très insidieuses », a-t-il déclaré. « Ils s’attaquent à la situation émotionnelle des demandeurs d’emploi. »
« Je reçois probablement trois à quatre de ces demandes par semaine », a-t-il poursuivi. « Ils vont tous automatiquement dans mon dossier indésirable. Ce sont les nouvelles versions des emails du prince nigérian qui vous demandent de leur envoyer 1 000 $ et ils vous rendront 10 millions de dollars.
Au-delà de sa capacité à imiter les entreprises, AppLite peut également se faire passer pour des applications Chrome et TikTok, démontrant un large éventail de vecteurs cibles, y compris la prise de contrôle complète des appareils et l’accès aux applications.
« Le niveau d’accès fourni (aux) attaquants pourrait également inclure les informations d’identification, les applications et les données de l’entreprise si l’appareil était utilisé par l’utilisateur pour un travail à distance ou un accès pour son employeur actuel », a écrit Pratapagiri.
« Alors que les appareils mobiles sont devenus essentiels aux opérations des entreprises, leur sécurisation est cruciale, notamment pour se protéger contre la grande variété de types d’attaques de phishing, y compris ces tentatives de phishing sophistiquées ciblant les mobiles », a déclaré Patrick Tiquet, vice-président de la sécurité et de l’architecture. de Keeper Security, une société de gestion de mots de passe et de stockage en ligne, à Chicago.
« Les organisations devraient mettre en œuvre des politiques robustes de gestion des appareils mobiles, garantissant que les appareils émis par l’entreprise et BYOD sont conformes aux normes de sécurité », a-t-il déclaré à TechNewsWorld. « Des mises à jour régulières des appareils et des logiciels de sécurité garantiront que les vulnérabilités seront rapidement corrigées, protégeant ainsi contre les menaces connues qui ciblent les utilisateurs mobiles. »
Aalto a également recommandé l’adoption de plateformes de gestion des risques humains (GRH) pour faire face à la sophistication croissante des attaques de phishing mobile.
« Lorsqu’une nouvelle attaque est signalée par un employé, la plateforme GRH apprend à détecter automatiquement de futures attaques similaires », a-t-il déclaré. « En intégrant la gestion des ressources humaines, les organisations peuvent créer une culture de sécurité plus résiliente dans laquelle les utilisateurs deviennent des défenseurs actifs contre les attaques de phishing et de smishing sur mobile. »