Une attaque par hameçonnage qui touchait jusqu’à présent les utilisateurs de Windows a maintenant changé de cible. Elle s’attaquer désormais aux utilisateurs de Mac. Dans un rapport publié mercredi dernier, l’éditeur de solutions de sécurité LayerX Labs explique comment et pourquoi les attaquants visent désormais les utilisateurs de Mac.
Lors de la campagne initiale lancée contre les utilisateurs de Windows, les escrocs ont créé des sites web affichant de faux avertissements de sécurité affirmant que l’ordinateur de la personne avait été compromis et verrouillé. Après avoir invité la victime à saisir son nom d’utilisateur et son mot de passe Windows, les escrocs exécutaient un code pour figer la page, faisant croire aux internautes que leur ordinateur était bloqué.
Selon LayerX, cette escroquerie s’est avérée efficace pour plusieurs raisons.
- Hébergé sur une plateforme Microsoft : Les pages de phishing étaient hébergées sur la plateforme Windows.net de Microsoft, un environnement ouvert conçu pour les applications Azure. De ce fait, les avertissements de sécurité semblaient légitimes. L’utilisation d’un service d’hébergement de confiance a également permis aux pages d’échapper aux défenses de sécurité habituelles qui les auraient autrement détectées comme étant malveillantes.
- Changement rapide de sous-domaine : Les escrocs ont créé des sous-domaines aléatoires sous Windows.net pour diffuser le code. Même si une page spécifique était identifiée comme malveillante, les attaquants pouvaient rapidement la remplacer par une autre URL sur un sous-domaine différent sans interrompre la campagne.
- Conception sophistiquée: Les pages d’hameçonnage elles-mêmes étaient bien conçues et avaient un aspect professionnel. Elles étaient également fréquemment mises à jour afin d’éviter toute détection par les services de sécurité.
- Méthodes anti-bot et CAPTCHA: Le code des pages de phishing contenait des vérifications anti-bot et CAPTCHA. L’objectif était de bloquer les robots d’exploration du web que les professionnels de la sécurité utilisent pour trouver des pages malveillantes.
Baisse de 90 % des attaques ciblant Windows
Forts de leur succès initial, les escrocs ont intensifié leurs activités tout au long de l’année 2024 et au début de l’année 2025. Au début de l’année, l’attaque a finalement attiré l’attention de Microsoft, qui a ajouté une protection anti-scareware à son navigateur Edge. Google Chrome et Firefox ont adopté leurs propres outils pour contrer ces attaques. Collectivement, ces réponses ont entraîné une baisse de 90 % des attaques ciblant Windows, selon LayerX.
Les pirates ont donc changé de cible et se sont tournés vers les Mac. Et ce moins de deux semaines à peine après que Microsoft ait doté Edge d’une nouvelle défense anti-scareware. Bien qu’elle soit en grande partie similaire à la campagne Windows, l’attaque sur les Mac diffère sur quelques points.
- Les pages et les messages d’hameçonnage ont été remaniés pour paraître plus légitimes aux yeux des utilisateurs de Mac
- Le code sous-jacent a été modifié pour cibler les utilisateurs de Mac et de Safari
- Mais les pages continuent d’être hébergées sur Windows.net pour paraître légitimes et échapper à la détection
« Les acteurs malveillants visaient les identifiants Apple ID, et non l’appareil physique ou les mots de passe du système d’exploitation »
Dans la nouvelle campagne, les victimes potentielles sont redirigées vers les pages d’hameçonnage par l’intermédiaire de pages de parking de domaines compromis. Une page de parking est une page fictive enregistrée par le biais d’un domaine sans contenu valide. La page redirige ensuite la personne vers plusieurs sites avant de l’amener à la page d’attaque proprement dite.
Par exemple, un employé travaillant pour une entreprise cliente de LayerX utilisait macOS et Safari. L’attaque a pu être menée à bien même si l’entreprise utilisait une passerelle Web sécurisée (SWG). Le système de détection de LayerX, basé sur l’intelligence artificielle, a pu bloquer la page avant qu’elle ne pose problème.
« En ce qui concerne l’attaque elle-même, il semble que les acteurs malveillants visaient les identifiants Apple ID des utilisateurs, et non l’appareil physique ou les mots de passe du système d’exploitation », a déclaré Eyal Arazi, de LayerX, à ZDNET. « Si vous regardez les captures d’écran de la page d’attaque, c’est ce qu’ils demandent dans l' »avertissement de sécurité ».
La porte ouverte au credential stuffing
Un tel accès pourrait leur permettre d’accéder au compte iCloud de l’utilisateur, y compris les fichiers, les photos, ou les sauvegardes de téléphone. De plus, une fois que les pirates disposent d’un mot de passe appartenant à un utilisateur, ils essaient souvent de faire du « credential stuffing » sur plusieurs systèmes et services.
Firefox et Chrome ayant identifié et bloqué les pages de phishing en réponse à la campagne Windows, Arazi a déclaré qu’il s’attendait à ce que les versions MacOS de ces deux navigateurs offrent également une protection similaire. Safari, le navigateur Mac le plus populaire, serait donc plus exposé, du moins jusqu’à ce qu’Apple ajoute des mesures similaires.
« Les attaques de phishing évoluent et, bien que les Mac soient traditionnellement moins sensibles aux virus, les utilisateurs de Mac ne sont pas épargnés par les menaces modernes », dit Darren Guccione, PDG de Keeper Security, à ZDNET.
Comment les professionnels et les entreprises peuvent lutter contre le hameçonnage ?
« Les utilisateurs doivent être équipés d’outils qui empêchent le vol de données d’identification, tels que les gestionnaires de mots de passe et l’authentification multifactorielle (MFA) » dit M. Guccione.
« Mais il est tout aussi important qu’ils soient formés et sensibilisés en permanence à la sécurité. La meilleure défense consiste à savoir comment repérer les tentatives d’hameçonnage et y répondre. Cela implique de rester attentif au langage urgent, d’éviter de cliquer sur des liens et des pop-ups suspects, et de visiter directement des sites web de confiance. »