Une nouvelle tactique de phishing utilisant les pages mobiles acclres de Google (AMP) a fait son apparition dans le paysage des menaces. Dans un article, Cofense rvle que cette nouvelle tactique s’est avre trs efficace pour atteindre les cibles vises. Voici un extrait des rsultats de leurs recherches.
Google AMP est un framework HTML open-source utilis pour construire des sites web optimiss pour les navigateurs et les mobiles. Les sites web qu’ils ont observs dans ces campagnes sont hbergs sur Google.com ou Google.co.uk, deux domaines considrs comme fiables par la plupart des utilisateurs. Cette campagne de phishing n’utilise pas seulement les URL Google AMP pour contourner la scurit, mais intgre galement une multitude d’autres tactiques, techniques et procdures (TTP) connues pour leur capacit contourner l’infrastructure de scurit des courriels.
Google AMP : La dernire application lgitime tre utilise pour le phishing
Google AMP est un cadre de composants web qui permet aux utilisateurs de crer des pages web qui sont galement optimises pour une utilisation mobile. Google permet chaque page web d’tre visible sur Google Search et peut utiliser Google AMP Cache ainsi que Google Analytics, qui fournissent tous deux aux utilisateurs des fonctionnalits supplmentaires pour suivre les autres interactions des utilisateurs sur les pages AMP. Une autre caractristique de Google AMP est que les pages web sont initialement hberges sur une URL Google AMP. Dans l’exemple ci-dessous, la moiti gauche de l’URL est le chemin lgitime de Google AMP, et la moiti droite est la page web cre par l’utilisateur de Google AMP. Pour visiter cette URL, un utilisateur peut accder au lien de la page web directement ou via cette version tendue de l’URL.
Les mmes caractristiques qui rendent Google AMP attrayant pour les utilisateurs lgitimes peuvent galement attirer les acteurs de la menace qui cherchent l’utiliser des fins malveillantes. Des acteurs du phishing ont t vus en train d’hberger des pages web malveillantes utilisant le chemin d’accs l’URL Google AMP dans leurs courriels de phishing afin de voler les identifiants de connexion aux courriels. Il peut tre difficile pour l’infrastructure de scurit de la messagerie de dtecter la nature malveillante des courriels, car ces URL sont hberges sur des domaines Google lgitimes. L’ajout de Google Analytics permet galement aux acteurs de la menace de suivre les interactions des utilisateurs dans leurs pages de phishing.
Un mois d’activit, a vaut le coup d’tre surveill
Lorsqu’il s’agit de surveiller les campagnes de phishing, il est important de se concentrer sur celles qui comptent. Une URL de phishing bloque avant d’atteindre la cible vise ne constitue pas une menace. Dans le cadre de cette campagne, les URL Google AMP se sont avres trs efficaces pour atteindre les utilisateurs dans des environnements protgs par des passerelles de messagerie scurises (SEG). La figure ci-dessous montre le volume hebdomadaire de courriels de phishing contenant des liens Google AMP que Cofense a observ dans la bote de rception d’une cible vise. Ces courriels ont russi atteindre leurs cibles pour diverses raisons, principalement parce que ces URL sont hberges sur un domaine Google lgitime. l’heure actuelle, ces courriels cherchent principalement voler les identifiants de connexion la messagerie des employs.
Les campagnes de phishing abusant des services Google AMP se sont multiplies au mois de mai et n’ont pas quitt le paysage des menaces depuis. Dans l’ensemble, ils ont vu le volume osciller radicalement au cours des dernires semaines, les semaines du 29 mai et du 10 juillet ayant t marques par de nouveaux sommets pour cette tactique. Le 15 juin, ils ont constat un changement de tactique avec l’utilisation de Google.co.uk dans les URL Google AMP. La tactique reste la mme, mais l’URL est hberge sur le domaine de premier niveau de Google au Royaume-Uni.
Sur l’ensemble des URL Google AMP qu’ils ont observes, environ 77 % taient hberges sur le domaine google.com et 23 % sur le domaine google.co.uk. Le chemin d’accs l’URL est un bon indicateur de cette campagne de phishing, mais il est difficile de bloquer purement et simplement « google.com/amp/s/ » en raison des utilisations lgitimes. Il est recommand aux organisations de discuter avec leurs utilisateurs des utilisations lgitimes de ce chemin d’accs avant de le bloquer purement et simplement. Bien qu’il soit difficile de bloquer le chemin d’accs, cela pourrait tre une bonne occasion de signaler les URL qui le contiennent.
Les acteurs de la menace combinent la toute nouvelle tactique avec d’autres TTP prouves.
Les campagnes de phishing Google AMP ont russi atteindre leurs cibles. Cela est probablement d au statut de confiance et la lgitimit des domaines Google sur lesquels chaque URL est hberge. Bien que cette raison puisse tre suffisante, les acteurs de la menace qui emploient cette nouvelle tactique ont galement incorpor les mthodes prouves dj connues pour contribuer l’vasion d’un courriel de phishing.
Les TTP suivantes ont t observes dans une varit de courriels de phishing qui utilisent des URL Google AMP comme liens intgrs dans les courriels de phishing :
- Trusted Domains ou domaines de confiance : Des domaines de confiance sont souvent utiliss chaque tape des campagnes d’hameonnage, sans se limiter au domaine Google initial.
- Redirection d’URL : La redirection d’URL dans le cadre de l’URL Google AMP ainsi qu’une tape supplmentaire ont t observes dans plusieurs campagnes utilisant la tactique Google AMP. Cela ajoute une couche supplmentaire l’analyse des perturbations.
- Emails de Phishing bass sur des images : Des courriels de Phishing bass sur des images ont t utiliss. Cela permet l’acteur de la menace de perturber l’analyse en remplaant un corps de texte normal par une image HTML code contenant un lien malveillant intgr, sur lequel le destinataire peut cliquer.
- CAPTCHA de Cloudflare : Les CAPTCHA de Cloudflare sont une tactique couramment utilise dans les campagnes d’hameonnage, il n’est donc pas surprenant qu’ils apparaissent ici. Les services CAPTCHA perturbent l’analyse automatise et exigent que chaque campagne de phishing soit analyse manuellement.
Source : Cofense
Et vous ?
Pensez-vous que cette recherche est crdible ou pertinente ?
D’aprs vous, quelle serait la solution pour se protger de cette nouvelle tactique de phishing ?
Voir aussi :