Les utilisateurs de WeTransfer cibles d’une campagne de phishing identifiée par Infoblox

Infoblox, le leader des services réseau gérés et sécurisés dans le cloud, vient d’identifier une campagne de phishing via des spams malveillants (malspam), qui contiennent un fichier HTML capable d’exfiltrer des identifiants. Les attaquants utilisent des messages génériques dans leurs emails, mais le fichier HTML cible spécifiquement le service de partage de fichiers WeTransfer.

Le fichier HTML malveillant utilisé dans cette campagne n’appartient à aucune famille de malwares précédemment identifiée par Infoblox. Sa mission est de collecter et d’exfiltrer des identifiants WeTransfer.

Dans cette campagne, les acteurs malveillants ont envoyé à leurs victimes un message ayant pour sujet Request for Quotation-Urgent!!! (Demande de devis Urgent!). Le corps du message était vide, mais l’email contenait un fichier HTML en pièce jointe appelé order – Copy.html.

Le fichier HTML intègre une page HTML secondaire dans son contenu. Lorsque la victime ouvre la pièce jointe, la page HTML secondaire s’ouvre et alerte l’utilisateur qu’il peut accéder à un document sécurisé et qu’il doit se connecter à WeTransfer pour le visualiser. Si l’utilisateur se connecte avec succès au service WeTransfer, un ‘iframe’ intégré au sein de la seconde page HTML collecte et transfère les identifiants vers un URL contrôlé par l’attaquant. Toutefois, si l’utilisateur ne parvient pas à se connecter, la page HTML l’alerte que ses identifiants sont invalides.

Cette campagne de phishing s’appuie uniquement sur des tactiques d’ingénierie sociale pour persuader les victimes de révéler leurs identifiants.

Infoblox recommande les précautions suivantes pour réduire les risques d’attaque réussie :

  • Informer régulièrement les utilisateurs sur les tactiques employées par les attaques de phishing et les moyens de les contrer.
  • Toujours considérer comme suspects des emails vides ou sans objet précis, spécialement ceux qui incitent à ouvrir une pièce jointe ou cliquer sur un lien.
  • Toujours examiner les types de fichiers en attachement, et ne jamais ouvrir des fichiers pouvant être des scripts (.vbs, .cmd, .bat), un fichier de raccourci Internet ou un fichier compressé. Ces derniers sont fréquemment utilisés par les attaquants pour contourner les méthodes de détection traditionnelles basées sur des signatures, et pour masquer l’identité réelle du fichier malveillant.
Morgane Palomo
Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?