Mimecast Logo
Scan de M365 Obtenir un devis

    Amener l'utilisateur à copier/coller des liens

    12 février 2025

    Par l'équipe de recherche sur les menaces de Mimecast

    Points clés

    Ce que vous apprendrez dans cette notification

    • Ciblant principalement les entreprises juridiques, de vente au détail et de fabrication aux États-Unis.
    • Les campagnes sont distribuées via AWS SES et envoyées par un mailer Python
    • L’intention première est la collecte d’informations d’identification

    Flux de campagne

    Copy-and-Paste-flow.jpg

    Pour échapper à la détection par les solutions de sécurité, les acteurs malveillants incitent désormais les utilisateurs à interagir avec des liens malformés en les copiant et collant depuis un e-mail dans leur navigateur. Les chercheurs en menaces de Mimecast ont identifié que ces leurres comportent souvent un bouton avec un lien brisé accompagné du texte suivant : « Si le lien fourni ne fonctionne pas comme prévu, veuillez copier le lien suivant et le coller dans la barre d'adresse de votre navigateur. » L'e-mail utilise le leurre courant de partage de fichiers de paiement pour inciter les utilisateurs à interagir avec l'e-mail. Cependant, là où l'utilisateur cliquerait normalement sur le bouton « Voir le fichier », celui-ci a été intentionnellement rendu non cliquable, obligeant ainsi l'utilisateur à interagir avec le lien situé au bas de l'e-mail.

    Copy-and-Paste-1.png

    Le lien est présenté sous forme de texte brut, et non comme un hyperlien actif (<a href>), de sorte qu'il peut ne pas être immédiatement détecté par les filtres de sécurité qui analysent les URL malveillantes. Comme l'utilisateur est encouragé à copier et coller manuellement, cela contourne les outils d'analyse de liens automatisés au sein des plateformes de sécurité des emails. L'URL inclut des domaines de confiance tels que sharepoint.com pour donner une impression de crédibilité. Cependant, il est suivi d'un domaine malveillant sans rapport : hoteis-em-gramado[.]com.

    Le lien a tendance à être long, avec plusieurs obfuscations et un encodage en base64, ce qui rendrait difficile pour l'utilisateur de déterminer s'il est suspect. En décodant le base64, il semble qu'il y ait des paramètres supplémentaires qui ont été dissimulés;

    sv=o365_1_sp&rand=ajk3WHM=&uid=USER27092024U07092722

    sv=o365_1_sp : Indique probablement le service ou la plateforme usurpée. Ici, il semble indiquer « Office 365 SharePoint » (o365_1_sp).

    rand=ajk3WHM= : Semble être une valeur générée aléatoirement, probablement pour créer des URL uniques à des fins de suivi. Des chaînes aléatoires comme celle-ci peuvent servir d'identifiant de session ou de suivi permettant aux attaquants d'identifier la victime.

    uid=USER27092024U070927227 : Probablement un identifiant d'utilisateur (uid), qui pourrait correspondre à une cible spécifique dans la campagne de phishing. Le motif ressemblant à une date (27092024) pourrait encoder l'horodatage de la création de l'email ou du lien de phishing.

    Une fois que l'utilisateur a copié et collé le lien dans son navigateur, le navigateur ajoutera les données manquantes "http://" pour former complètement le lien, et l'utilisateur sera redirigé vers une page de collecte d'informations d'identification qui contient certains fichiers.

    Copy-and-Paste-2.png

    L'activité de la campagne montre un pic significatif à la fin octobre, avec une activité sporadique continue en novembre.

    Copy-and-Paste-3.png

    Tactiques, techniques et procédures :

    T1204.001 - Exécution par l’utilisateur : lien malveillant
    T1598.002 - Phishing pour obtenir des informations
    T1566.002 - Lien de spear phishing
    T1071.001 - Protocole de couche application : Protocoles Web (HTTP/HTTPS)
    T1586.002 - Compromettre des comptes : comptes de messagerie
    T1588.006 - Obtenir des capacités : Services Web
    T1027 - Fichiers ou informations obscurcis

    Protection Mimecast

    Nous avons identifié plusieurs attributs dans les campagnes qui ont été ajoutés à nos capacités de détection.

    Ciblage :

    États-Unis, principalement dans les secteurs juridique, du commerce de détail et de la fabrication

    CIO :

    Sujets :

    Payment Advice_Have2020 __[MSG-ID-8284766044wzdjjatjmcvlzp]
    Lisa a partagé « Rapport détaillé de paiement »
    Avis du département des finances : Transmissions récentes de paiements fournisseurs
    Confirmation de règlement le 23/10/24

    URL :

    hoteis-em-gramado[.]com

    Recommandations

    • Assurez-vous qu'une politique URL Protect est définie pour protéger l'organisation.
    • Effectuez une recherche dans vos journaux URL Protect pour déterminer si vos utilisateurs ont accédé à l'un des services faisant l'objet d'abus.
    • Effectuez une recherche dans vos journaux de réception d'e-mails pour déterminer si des sujets correspondants ont été remis à vos utilisateurs.
    • Informez les utilisateurs finaux de la tendance continue à l’utilisation d’outils légitimes dans des campagnes malveillantes.
    Haut de la page