momius - stock.adobe.com

Phishing : un fichier partagé en mode cloud en guise d’hameçon

Les assaillants continuent de faire preuve de créativité pour piéger leurs cibles. Cette fois-ci en s’appuyant sur les notifications de partage de fichier de Google Drive. C’est un industriel de l’énergie qui était visé.

Les équipes de Confense viennent de détailler une tentative d’hameçonnage ayant visé un industriel de l’énergie. Mais celui qui s’appelait PhishMe, il y a encore un an et demi, souligne l’originalité de l’approche et la nature ciblée de l’opération.

Pas question, là, de passer par un traditionnel courriel et prendre le risque de se retrouver pris au piège d’un système de filtrage. Les attaquants ont préféré passer un fichier partagé sur Google Drive, afin de laisser celui-ci jouer le rôle de messager : « en utilisant un service authentique, cette campagne de phishing a été en mesure de contourner la pile de sécurité de l’e-mail, en particulier Microsoft Exchange Online Protection, et de se frayer un chemin jusqu’à l’utilisateur final ».

Les équipes de Cofense ajoutent à cela que le lien associé au courriel de notification est tout ce qu’il y a de légitime, puisqu’il vient d’un service bien réel : « si l’outil d’inspection du corps des e-mails de l’organisation n’examine pas au-delà du premier lien, les mécanismes de contre-mesure vont marquer l’e-mail comme non malicieux ». Qui plus est, le véritable lien malveillant se trouve quant à lui dans le document partagé… et ne sera examiné – voire identifié comme malicieux – qu’une fois le fichier correspondant effectivement téléchargé ou consulté dans un navigateur.

Dans l’exemple étudié par les équipes de Cofense, le document partagé était « hautement personnalisé pour l’entreprise visée dans le secteur de l’énergie ». Ce qui a trahi le piège tendu ? Certaines informations présentées étaient… dépassées, périmées « depuis un an » et donc, sans intérêt pour les utilisateurs visés.

Le recours à des services légitimes pour passer au travers des filtres de protection contre l’hameçonnage n’est toutefois pas inédit. Ainsi, les équipes de Cofense ont alerté fin juillet sur le détournement du service WeTransfer selon une logique comparable.

La créativité des cyberdélinquants ne s’arrête d’ailleurs pas là. Récemment, des tentatives d’hameçonnage suivant la même logique, mais utilisant de fausses notifications d’activités anormales sur des comptes Microsoft. Les équipes de ce dernier viennent en outre d’alerter sur des opérations de phishing exploitant de fausses pages d’erreur 404.

Pour approfondir sur Menaces, Ransomwares, DDoS