Une nouvelle technique de phishing appelée « archiveur de fichiers dans le navigateur » peut être exploitée pour « émuler » un logiciel d’archivage de fichiers dans un navigateur Web lorsqu’une victime visite un domaine .ZIP.
« Avec cette attaque de phishing, vous simulez un logiciel d’archivage de fichiers (par exemple, WinRAR) dans le navigateur et utilisez un domaine .zip pour le rendre plus légitime », a révélé le chercheur en sécurité mr.d0x la semaine dernière.
En un mot, les acteurs de la menace pourraient créer une page de destination de phishing d’aspect réaliste en utilisant HTML et CSS qui imitent un logiciel d’archivage de fichiers légitime, et l’héberger sur un domaine .zip, améliorant ainsi les campagnes d’ingénierie sociale.
Dans un scénario d’attaque potentiel, un malfaiteur pourrait recourir à une telle supercherie pour rediriger les utilisateurs vers une page de collecte d’informations d’identification lorsqu’un fichier « contenu » dans la fausse archive ZIP est cliqué.
« Un autre cas d’utilisation intéressant est la liste d’un fichier non exécutable et lorsque l’utilisateur clique pour lancer un téléchargement, il télécharge un fichier exécutable », a noté mr.d0x. « Supposons que vous ayez un fichier ‘invoice.pdf’. Lorsqu’un utilisateur clique sur ce fichier, il lance le téléchargement d’un fichier .exe ou de tout autre fichier. »
En plus de cela, la barre de recherche de l’explorateur de fichiers Windows peut apparaître comme un conduit sournois où la recherche d’un fichier .ZIP inexistant l’ouvre directement dans le navigateur Web si le nom du fichier correspond à un fichier légitime. domaine .zip.
« C’est parfait pour ce scénario puisque l’utilisateur s’attendrait à voir un fichier ZIP », a déclaré le chercheur. « Une fois que l’utilisateur aura effectué cette opération, il lancera automatiquement le domaine .zip contenant le modèle d’archive de fichiers, ce qui semble assez légitime. »
Le développement intervient alors que Google a déployé huit nouveaux domaines de premier niveau (TLD), dont « .zip » et « .mov », qui ont soulevé des inquiétudes quant au fait qu’il pourrait inviter le phishing et d’autres types d’escroqueries en ligne.
En effet, .ZIP et .MOV sont tous deux des noms d’extension de fichier légitimes, ce qui peut amener les utilisateurs peu méfiants à visiter un site Web malveillant plutôt que d’ouvrir un fichier et de les inciter à télécharger accidentellement des logiciels malveillants.
« Les fichiers ZIP sont souvent utilisés dans le cadre de la phase initiale d’une chaîne d’attaque, généralement téléchargés après qu’un utilisateur accède à une URL malveillante ou ouvre une pièce jointe à un e-mail », a déclaré Trend Micro.
« Au-delà des archives ZIP utilisées comme charge utile, il est également probable que des acteurs malveillants utilisent des URL liées à ZIP pour télécharger des logiciels malveillants avec l’introduction du TLD .zip. »
Si les réactions sont décidément mitigées sur le risque que représente la confusion entre noms de domaine et noms de fichiers, on s’attend à doter les acteurs de mauvaise foi d’un énième vecteur de phishing.
La découverte intervient également alors que la société de cybersécurité Group-IB a déclaré avoir détecté une augmentation de 25% de l’utilisation de kits de phishing en 2022, identifiant 3 677 kits uniques, par rapport à l’année précédente.
La tendance à utiliser Telegram pour collecter des données volées est particulièrement intéressante, doublant presque de 5,6 % en 2021 à 9,4 % en 2022.
Ce n’est pas tout. Les attaques de phishing deviennent également plus sophistiquées, les cybercriminels se concentrant de plus en plus sur l’emballage des kits avec des capacités d’évasion de détection telles que l’utilisation d’antibots et de répertoires dynamiques.
« Les opérateurs de phishing créent des dossiers de sites Web aléatoires qui ne sont accessibles que par le destinataire d’une URL de phishing personnalisée et ne sont pas accessibles sans le lien initial », a déclaré la société basée à Singapour.
« Cette technique permet aux hameçonneurs d’échapper à la détection et à la mise sur liste noire car le contenu de phishing ne se révélera pas. »
Selon un nouveau rapport de Perception Point, le nombre d’attaques de phishing avancées tentées par des acteurs de la menace en 2022 a augmenté de 356 %. Le nombre total d’attaques a augmenté de 87 % au cours de l’année.
Cette évolution continue des schémas de phishing est illustrée par une nouvelle vague d’attaques qui ont été observées en utilisant des comptes Microsoft 365 compromis et des e-mails chiffrés avec des messages à autorisation restreinte (.rpmsg) pour collecter les informations d’identification des utilisateurs.
« L’utilisation de messages cryptés .rpmsg signifie que le contenu de phishing du message, y compris les liens URL, est caché des passerelles d’analyse des e-mails », ont expliqué les chercheurs de Trustwave, Phil Hay et Rodel Mendrez.
Un autre cas mis en évidence par Proofpoint implique l’abus possible de fonctionnalités légitimes dans Microsoft Teams pour faciliter la diffusion de phishing et de logiciels malveillants, notamment l’utilisation d’invitations à des réunions après compromis en remplaçant les URL par défaut par des liens malveillants via des appels d’API.
« Une approche différente que les attaquants peuvent utiliser, étant donné l’accès au jeton Teams d’un utilisateur, consiste à utiliser l’API ou l’interface utilisateur de Teams pour armer les liens existants dans les messages envoyés », a noté la société de sécurité d’entreprise.
« Cela pourrait être fait en remplaçant simplement les liens bénins par des liens pointant vers des sites Web néfastes ou des ressources malveillantes. »
