Ne maintenez pas la touche Ctrl enfoncée : nouvel avertissement alors que les cyberattaques sont confirmées
Les attaques de phishing en deux étapes ne vont pas disparaître
Mise à jour du 18 novembre 2024 : cet article, initialement publié le 17 novembre, comprend désormais un nouveau rapport sur une autre tactique de plus en plus utilisée par les acteurs malveillants dans les cyberattaques de phishing.
Tout comme les professionnels de la sécurité vous le diront, les stratégies défensives à plusieurs niveaux sont les meilleures lorsqu’il s’agit de parer des attaques réussies. De même, les attaquants se tourneront souvent vers ces mêmes stratégies lorsqu’ils exécuteront leurs cyberattaques. Les attaques de phishing en deux étapes sont, selon les mots des chercheurs en sécurité de Perception Point, « devenues la pierre angulaire de la cybercriminalité moderne », exploitant des plateformes fiables « pour diffuser du contenu malveillant en couches afin d’échapper à la détection ». Tout change, mais tout reste pareil. Ces mêmes chercheurs ont mis en garde contre une nouvelle méthodologie d’attaque employant de telles tactiques 2SP mais impliquant des fichiers Microsoft Visio comme nouvelle tactique d’évasion. Voici ce à quoi vous devez faire attention et les mesures que vous pouvez prendre pour atténuer le risque d’être victime de ces nouvelles cyberattaques 2SP.
Les cyberattaques en deux étapes constituent le summum du phishing dès leur conception
Une nouvelle analyse publiée par Peleg Cabra, responsable du marketing produit chez Perception Point, a révélé comment les chercheurs en sécurité travaillant pour le fournisseur ont constaté que les acteurs malveillants se tournaient de plus en plus vers l’utilisation de fichiers au format Microsoft Visio .vsdx pour échapper à la détection lors de cyberattaques de vol d’identifiants.
Parce que Visio est un outil couramment utilisé sur le lieu de travail pour aider à visualiser des données ou des flux de travail complexes, l’utilisation de fichiers au format .vsdx s’intègre parfaitement dans la stratégie des acteurs malveillants selon laquelle la « familiarité inoffensive » est au cœur de nombreuses attaques de phishing. Aujourd’hui, selon les chercheurs de Perception Point, les mêmes fichiers sont utilisés comme arme pour la diffusion d’URL malveillantes dans le cadre d’un scénario d’attaque de phishing en deux étapes : lâchez l’appât, tendez le piège.
Décrivant ce qu’ils ont appelé « une augmentation spectaculaire des attaques de phishing en deux étapes exploitant les fichiers .vsdx », les chercheurs en sécurité ont expliqué comment les cyberattaques représentaient « une sophistication des tactiques de phishing en deux étapes, ciblant des centaines d’organisations dans le monde avec une nouvelle couche ». de tromperie conçue pour échapper à la détection et exploiter la confiance des utilisateurs.
Évolution des cyberattaques de phishing en deux étapes
Si un tel avertissement était nécessaire, le voici : la sécurité des comptes de messagerie est vitale si l’on veut arrêter les cyberattaques telles que ces dernières attaques de phishing en deux étapes. Pourquoi ? Parce que, selon les chercheurs, ils ont commencé avec des acteurs malveillants qui exploitaient des comptes de messagerie piratés afin d’envoyer des e-mails qui réussissaient les contrôles d’authentification de base car ils provenaient de domaines authentiques.
Ces e-mails contiendront un composant de phishing courant conçu pour attirer le destinataire dans le piège : une proposition commerciale ou un bon de commande, accompagné d’une demande urgente à consulter et à répondre. Bien sûr, lorsque la victime fait exactement cela et clique sur l’URL, elle est conduite au piège lui-même : une page Microsoft SharePoint elle-même, souvent compromise, mais quelle qu’elle soit, qui héberge un fichier Viso .vsdx. Les couches de la cyberattaque commencent à s’effilocher à ce stade, avec une autre URL intégrée dans ce fichier et derrière ce que les chercheurs ont décrit comme un appel à l’action cliquable, le plus souvent un bouton « afficher le document ».
Veuillez maintenir la touche Ctrl enfoncée, c’est une instruction dans ces cyberattaques 2SP récemment découvertes
C’est là que ces cyberattaques 2SP deviennent vraiment intelligentes, même si je déteste appliquer ce mot aux cybercriminels. « Pour accéder à l’URL intégrée, les victimes sont invitées à maintenir la touche Ctrl enfoncée et à cliquer », ont déclaré les chercheurs de Perception Point, « une action subtile mais très efficace conçue pour échapper aux scanners de sécurité des e-mails et aux outils de détection automatisés ». En sollicitant cette interaction humaine, les attaquants espèrent contourner les systèmes automatisés qui ne s’attendent pas à un tel comportement lors d’une attaque.
La victime est maintenant redirigée vers une autre fausse page, cette fois-ci qui ressemble à toutes fins utiles à une page de connexion au portail Microsoft 365 conçue, bien sûr, pour voler les informations d’identification des utilisateurs. Il n’y a aucune mention dans le rapport de Perception Point de cette étape, y compris une tactique de compromission des cookies de session, ce qui signifie qu’un moyen de l’empêcher de réussir serait de mettre en place une authentification robuste à deux facteurs pour le compte ciblé dans une telle étape. cyberattaques.
Des graphiques vectoriels évolutifs sont déployés dans de nouvelles cyberattaques : voici comment procéder
Selon un nouveau rapport de Lawrence Abrams, rédacteur en chef de Bleeping Computer, les acteurs de la menace utilisent de plus en plus une autre tactique intelligente impliquant l’utilisation de graphiques vectoriels évolutifs comme pièces jointes lors du déploiement de cyberattaques de phishing. Cette technique est conçue pour soit afficher des formulaires malveillants à la victime, soit déployer directement des logiciels malveillants, tout en échappant à la détection par les logiciels de sécurité. Cette tactique repose sur le fait que contrairement aux images construites en pixels, les graphiques vectoriels évolutifs sont créés à l’aide d’une formule mathématique qui indique comment les lignes, les formes et le texte doivent être affichés à l’écran. Le chercheur en sécurité MalwareHunterTeam a déclaré à Bleeping Computer comment les acteurs de la menace exploitent le fait que les pièces jointes SVG peuvent afficher du HTML et exécuter du JavaScript lorsque l’image elle-même est chargée. Le plus intelligent est que ceux-ci sont utilisés pour créer des formulaires de vol d’informations d’identification. Abrams a démontré comment une telle technique pouvait afficher une feuille de calcul Excel accompagnée d’un formulaire de connexion intégré pour envoyer des informations d’identification à l’acteur menaçant déployant les cyberattaques. Il a toutefois été noté que d’autres cyberattaques utilisent du JavaScript intégré dans les pièces jointes SVG pour rediriger les navigateurs vers des sites hébergés par les acteurs malveillants lors de l’ouverture de l’image elle-même.
Atténuer les cyberattaques liées aux pièces jointes SVG
« Le problème est que, comme ces fichiers ne sont pour la plupart que des représentations textuelles d’images », a déclaré Abrams, « ils ont tendance à ne pas être détectés très souvent par les logiciels de sécurité. » Cela signifie que la dernière ligne de défense est la même que la première : vous, l’être humain. Demandez-vous pourquoi vous recevriez une pièce jointe au format graphique vectoriel évolutif en premier lieu, si cela n’est pas courant dans votre flux de travail. Si vous êtes un développeur ou quelqu’un d’autre habitué à voir les pièces jointes SVG, demandez-vous qui les envoie et si c’est un comportement normal pour lui. Considérez tous les e-mails accompagnés d’une pièce jointe SVG comme suspects, et de cette façon, vous pourriez vous épargner, ainsi qu’à votre organisation, d’être victime de ces cyberattaques de phishing.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25739306/game_room_action.jpg?w=390&resize=390,220&ssl=1 "Cette maison est faite pour les soirées de jeux LAN")
