Name: Tremplin Numérique
Price range: $$$

Un groupe d’acteurs malveillants a intensifié ses campagnes de phishing afin d’inciter les grandes entreprises (notamment celles des secteurs de l’énergie, des services professionnels et de la construction) à soumettre leurs Microsoft Office 365 identifiants de compte. Selon un rapport d’une société de solutions de détection et de réponse au phishing Cofenseles opérateurs de la campagne ont amélioré le processus et la conception de leurs éléments de leurre et se déguisent désormais en autres agences gouvernementales américaines, telles que les ministères des Transports, du Commerce et du Travail.

« Les acteurs de la menace mènent une série de campagnes usurpant plusieurs départements du gouvernement des États-Unis », a déclaré Cofense. « Les e-mails prétendent demander des offres pour des projets gouvernementaux, mais conduisent les victimes à des pages de phishing d’informations d’identification à la place. Ces campagnes sont en cours depuis au moins mi-2019 et ont été couvertes pour la première fois dans notre Flash Alert en juillet 2019. Ces campagnes avancées sont bien conçues, ont été vues dans des environnements protégés par des passerelles de messagerie sécurisées (SEG), sont très convaincantes et semblent être ciblé. Ils ont évolué au fil du temps en améliorant le contenu des e-mails, le contenu des PDF, ainsi que l’apparence et le comportement des pages de phishing d’informations d’identification.

PDF joint avec lien intégré vers la page de phishing des informations d’identification de la campagne (Crédit image : Cofense)

Cofense a montré une série de captures d’écran comparant les matériaux précédents et actuels utilisés par les attaquants. Les premiers à bénéficier de ces améliorations sont les e-mails et les PDF, qui sont désormais personnalisés pour paraître plus authentiques. « Les premiers e-mails avaient des corps d’e-mail plus simplistes sans logos et avec un langage relativement simple », a ajouté Cofense. « Les e-mails les plus récents utilisaient des logos, des blocs de signature, un formatage cohérent et des instructions plus détaillées. Les e-mails récents incluent également des liens pour accéder aux fichiers PDF plutôt que de les joindre directement. »

Page d'accueil usurpée du ministère du Travail — Page d’accueil usurpée du ministère du Travail

D’autre part, pour prévenir les soupçons des victimes, les acteurs de la menace ont également apporté des modifications à la page de phishing des informations d’identification, du processus de connexion à la conception et aux thèmes. Les URL des pages sont également intentionnellement remplacées par des URL plus longues (par exemple, transport[.]gouvernement[.]soumissionner[.]sécurisé[.]akjackpot[.]com), les cibles ne verront donc la partie .gov que dans des fenêtres de navigateur plus petites. De plus, la campagne comporte désormais des exigences de captcha et d’autres instructions pour rendre le processus plus crédible.

Les raffinements de ces campagnes rendent plus difficile pour les cibles de distinguer les vrais sites Web et documents des faux, surtout maintenant que les acteurs utilisent des informations mises à jour copiées à partir de sources originales. Néanmoins, Cofense a souligné qu’il existe encore des moyens d’éviter d’être victime de ces actes. En plus de repérer de petits détails (par exemple, une date erronée sur les pages et des URL suspectes), tous les destinataires doivent toujours être prudents lorsqu’ils cliquent sur des liens, non seulement ceux intégrés dans les e-mails, mais également ceux des pièces jointes.