Cette escroquerie par phishing a révélé des milliers de mots de passe volés via la recherche Google.

Les opérateurs d'une campagne de phishing ciblant les secteurs de la construction et de l'énergie ont révélé des informations d'identification volées lors d'attaques visibles publiquement par une simple recherche sur Google.

Jeudi, Check Point Research en partenariat avec Otorio a publié un article de blog décrivant la campagne, dans laquelle des informations volées ont été déversées sur des domaines WordPress compromis.

La récente attaque de phishing a commencé avec l'un des nombreux modèles d'e-mails frauduleux et imitait les notifications d'analyse Xerox/Xeros, incluant le nom ou le titre d'un employé de l'entreprise cible dans la ligne d'objet.

Aussi: Meilleurs VPN • Meilleures clés de sécurité• Meilleur antivirus

Les messages de phishing provenaient d'un serveur Linux hébergé sur Microsoft Azure et étaient envoyés via PHP Mailer et les serveurs de messagerie 1&1. Le spam était également envoyé via des comptes de messagerie précédemment compromis pour donner l'impression que les messages provenaient de sources légitimes.

Les attaquants à l'origine de l'escroquerie par phishing incluaient un fichier HTML joint contenant du code JavaScript intégré qui avait une fonction: vérifier secrètement les antécédents de l'utilisation du mot de passe. Lorsque des informations d'identification étaient détectées, elles étaient collectées et les utilisateurs étaient envoyés vers des pages de connexion légitimes.

"Bien que cette chaîne d'infection puisse paraître simple, elle a réussi à contourner Microsoft Office 365 Advanced Filtrage des menaces (ATP) et vol des informations d'identification de plus d'un millier d'employés de l'entreprise", Check Point dit.

L'infrastructure des attaquants comprend un réseau de sites Web, soutenus par le système de gestion de contenu (CMS) WordPress, qui ont été piratés. Check Point indique que chaque domaine était utilisé comme « serveurs de zone de dépôt » pour traiter les informations d'identification entrantes et volées.

Cependant, une fois les données utilisateur volées envoyées à ces serveurs, elles étaient enregistrées dans des fichiers publics et indexés par Google, permettant ainsi à quiconque de les consulter via une simple recherche.

Chaque serveur serait en activité pendant environ deux mois et serait lié à des domaines .XYZ qui seraient utilisés dans des tentatives de phishing.

"Les attaquants préfèrent généralement utiliser des serveurs compromis plutôt que leur propre infrastructure en raison de la réputation bien connue des sites Web existants", a noté l'équipe. "Plus une réputation est largement reconnue, plus il y a de chances que l'e-mail ne soit pas bloqué par les fournisseurs de sécurité."

Sur la base d'un sous-ensemble d'environ 500 informations d'identification volées, les chercheurs ont identifié un large éventail de secteurs cibles, notamment l'informatique, la santé, l'immobilier et l'industrie manufacturière. Il semble cependant que les acteurs menaçants s’intéressent particulièrement à la construction et à l’énergie.

Check Point a contacté Google et l'a informé de l'indexation des informations d'identification.

Bien que l'attribution soit souvent un défi, un e-mail de phishing d'août 2020 a été comparé à la dernière campagne et a été utilisé le même codage JavaScript, ce qui suggère que le groupe à l'origine de cette vague est en activité depuis un certain temps. temps.

Couverture antérieure et connexe

• Qu’est-ce que le phishing? Tout ce que vous devez savoir pour vous protéger des e-mails frauduleux et plus encore
  
• Cette nouvelle attaque de phishing utilise un leurre étrange pour diffuser un cheval de Troie malveillant Windows.
  
• Cette campagne de phishing par ver change la donne en matière de vol de mots de passe et de piratage de comptes.
  

---

Vous avez un conseil ? Contactez-nous en toute sécurité via WhatsApp | Signalez au +447713 025 499, ou sur Keybase: charlie0

---