Absence d'une livraison

12 février 2025

Par Samantha Clarke, Ankit Gupta, Hiwot Mendahun et l'équipe Mimecast Threat Research

Flux de campagne

Les chercheurs de Mimecast Threat ont observé une campagne de phishing utilisant l’appât d’une livraison de colis manquée pour inciter les utilisateurs à cliquer sur des liens malveillants et à voler des informations financières. La campagne est diffusée par l'intermédiaire de Biglobe, une société de télécommunications japonaise fréquemment exploitée par les acteurs malveillants. Les attaquants profitent des marchés clandestins tels que fishersender[.]com pour acheter des comptes compromis, ce qui leur permet d'accéder légitimement à l'infrastructure de Biglobe. Cet accès leur permet d'envoyer des e-mails malveillants qui échappent à la plupart des protocoles d'authentification des e-mails.

Les liens trouvés dans cette campagne pointent vers des URL légitimes de Amazon Simple Storage Service (S3). Amazon S3 est une solution de stockage en nuage qui prend en charge le stockage, la gestion et la récupération d'objets tels que des fichiers HTML. Il est largement utilisé pour héberger des sites web statiques, fournissant un stockage public. Les acteurs de la menace abusent des buckets S3 pour héberger des fichiers ou des pages malveillants, en tirant parti de sa réputation de service de confiance pour contourner les vérifications de sécurité.
 
Dans cette campagne, les buckets S3 ont été utilisés pour stocker un fichier HTML conçu pour rediriger l'utilisateur vers une autre URL malveillante en cas d'accès par un utilisateur.

Le fichier crée une page Web vierge (<body style="display : none">) qui est cachée à l’utilisateur pour éviter les soupçons et qui n’est pas visible par les moteurs de recherche
 
Le JavaScript construit dynamiquement une URL malveillante en concaténant des variables entre elles, par exemple, la = « emaili », muie = « ng.targ » etc. En fragmentant l'URL malveillante en plusieurs parties et en les concaténant, le script cherche à contourner les mécanismes de détection simples ou les correspondances de mots-clés basiques.

Une fois redirigé, l'utilisateur arrive sur une page de phishing très bien structurée qui ne demande que le code postal de l'utilisateur. Une fois que l'utilisateur a saisi les informations, il sera redirigé vers une autre page demandant des détails financiers pour compléter la livraison, qui seront ensuite volés.
 
L'activité de la campagne montre des pics significatifs de frappes malveillantes, notamment fin août et début septembre, avec une activité sporadique continue en octobre.

Tactiques, techniques et procédures :

T1598.002 - Phishing pour obtenir des informations
T1583.001 - Acquisition d'infrastructure : domaines
T1584.004 - Infrastructure de compromission : relation de confiance
T1204.001 - Exécution par l'utilisateur : lien malveillant
T1586.002 - Comptes de compromission : comptes de messagerie
T1041 - Exfiltration via le canal C2

Protection Mimecast  

Nous avons identifié plusieurs attributs dans les campagnes qui ont été ajoutés à nos capacités de détection.

Ciblage :  

Royaume-Uni, principalement les secteurs à but non lucratif et du logement  

CIO :

URL

hxxps://s3.amazonaws[.]com/a1zx6ttriopl/parcel.html hxxps://s3.amazonaws[.]com/hfdfbdf8/2/envi7.htm hxxps://s3.amazonaws[.]com/effdafab/9/reschedule4.htm hxxps://s3.amazonaws[.]com/a16130f3d/3/schedule0.htm hxxps://s3.amazonaws[.]com/oginokazunori/input.html hxxps://s3.amazonaws[.]com/e959ec93/4/envi4.htm hxxps://s3.amazonaws[.]com/isoebstao/hermes.html hxxps://s3.amazonaws[.]com/ceciliacha/courier.html

Recommandations  

• Assurez-vous qu'une politique URL Protect est définie pour protéger l'organisation. 
• Effectuez une recherche dans vos journaux URL Protect pour déterminer si vos utilisateurs ont accédé à l'un des services faisant l'objet d'abus.
• Informez les utilisateurs finaux de la tendance continue à l’utilisation d’outils légitimes dans des campagnes malveillantes.