ActualitésInformations

Les utilisateurs de WeTransfer cibles d’une campagne de phishing identifiée par Infoblox

Infoblox, spécialiste des services réseau gérés et sécurisés dans le cloud, vient d’identifier une campagne de phishing via des spams malveillants (malspam), qui contiennent un fichier HTML capable d’exfiltrer des identifiants. Les attaquants utilisent des messages génériques dans leurs emails, mais le fichier HTML cible spécifiquement le service de partage de fichiers WeTransfer.

Le fichier HTML malveillant utilisé dans cette campagne n’appartient à aucune famille de malwares précédemment identifiée par Infoblox. Sa mission est de collecter et d’exfiltrer des identifiants WeTransfer.

Dans cette campagne, les acteurs malveillants ont envoyé à leurs victimes un message ayant pour sujet Request for Quotation-Urgent!!! (Demande de devis Urgent!). Le corps du message était vide, mais l’email contenait un fichier HTML en pièce jointe appelé order – Copy.html.

Le fichier HTML intègre une page HTML secondaire dans son contenu. Lorsque la victime ouvre la pièce jointe, la page HTML secondaire s’ouvre et alerte l’utilisateur qu’il peut accéder à un document sécurisé et qu’il doit se connecter à WeTransfer pour le visualiser. Si l’utilisateur se connecte avec succès au service WeTransfer, un ‘iframe’ intégré au sein de la seconde page HTML collecte et transfère les identifiants vers un URL contrôlé par l’attaquant. Toutefois, si l’utilisateur ne parvient pas à se connecter, la page HTML l’alerte que ses identifiants sont invalides.

Cette campagne de phishing s’appuie uniquement sur des tactiques d’ingénierie sociale pour persuader les victimes de révéler leurs identifiants.

Infoblox recommande les précautions suivantes pour réduire les risques d’attaque réussie :

  • Informer régulièrement les utilisateurs sur les tactiques employées par les attaques de phishing et les moyens de les contrer.
  • Toujours considérer comme suspects des emails vides ou sans objet précis, spécialement ceux qui incitent à ouvrir une pièce jointe ou cliquer sur un lien.
  • Toujours examiner les types de fichiers en attachement, et ne jamais ouvrir des fichiers pouvant être des scripts (.vbs, .cmd, .bat), un fichier de raccourci Internet ou un fichier compressé. Ces derniers sont fréquemment utilisés par les attaquants pour contourner les méthodes de détection traditionnelles basées sur des signatures, et pour masquer l’identité réelle du fichier malveillant.

A propos d’Infoblox

Infoblox offer à ses clients une expérience réseau de nouvelle génération avec ses Services Réseau Gérés et Sécurisés dans le Cloud. Pionnier dans la fourniture des réseaux les plus fiables, sécurisés et automatisés au monde, la société s’emploie sans relâche à accroître la simplicité d’exploitation des réseaux. Leader reconnu de l’industrie, Infoblox détient plus de 50% du marché mondial des solutions DDI avec 8.000 clients, dont 350 entreprises du classement Fortune 500.

Olivier Kauf

Consultant depuis plus de 30 ans, Je suis depuis une dizaine d'années journaliste, professionnel dans le domaine des risques et des assurances pour le e-mag RiskAssur-hebdo (https://www.riskassur-hebdo.com) et témoin de mon époque pour https://notre-siecle.com et https://perelafouine.com RiskAssur, Notre-Siècle et PèreLaFouine proposent chaque jour de nouveaux articles issus de la rédaction : la vie des sociétés (nominations, acquisitions, accords, …), des tests/présentations de produits, des ouvrages (professionnels, romans, bd, …), … Je peux : - présenter vos produits ou nouveaux ouvrages (il suffit de me les envoyer) - écrire sur des sujets à la demande pour du référencement SEO - publier vos communiqués de presse - Publier vos AAPC - … Une question, une remarque : olivier@franol.fr

Articles similaires

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page

Si vous avez un instant !

L’article que vous venez de lire vous a intéressé,
alors CLIQUER sur une des publicités.
Ça ne vous coûte rien et c’est positif pour PèreLaFouine.

%d blogueurs aiment cette page :