Mimecast Logo
M365 Threat Scan Get a Quote

    Campagnes de phishing utilisant des liens réécrits

    31 juillet 2024

    Points clés

    • Des campagnes de phishing contenant des liens réécrits provenant de plusieurs solutions de sécurité des e-mails ont été détectées.
    • Nécessite des comptes compromis pour générer des liens réécrits
    • L’intention première semble être la collecte d’informations d’identification.

    Au cours des trois derniers mois, les chercheurs en menaces de Mimecast ont détecté et surveillé des acteurs menaçants utilisant des liens réécrits à partir de plusieurs solutions de sécurité, y compris Mimecast, pour masquer leurs intentions malveillantes. On s’attend à ce que la liste des solutions de sécurité de messagerie utilisées à mauvais escient s’allonge. Bien que cette technique ne soit pas nouvelle, l'adoption généralisée de cette méthode par de multiples solutions de sécurité pour le courrier électronique, en particulier au mois de juin, indique l'implication d'acteurs de la menace très organisés et disposant de ressources importantes.

    Les acteurs de la menace continuent d'abuser d'outils et de solutions légitimes, généralement fiables, pour échapper à la détection et tromper les utilisateurs finaux. Vous trouverez ci-dessous quelques exemples d’e-mails de phishing utilisés dans ces campagnes. Ces courriels contiennent généralement des références personnalisées à l'entreprise ciblée, ce qui ajoute un niveau de sophistication à cette opération à grande échelle. L'objectif premier de ces courriels semble être la collecte d'informations d'identification, qui pourraient ensuite être utilisées pour d'autres attaques ou vendues à des fins lucratives.

    Exemple 1

    Phishing-campaign-1.svg 

    Exemple 2

    Phishing-campaign-2.svg

    Déroulement de la campagne
    • Un compte utilisateur compromis à la suite de diverses méthodes d’attaque fournit à l’acteur de la menace un moyen de générer des liens réécrits. 
    • Un courriel contenant un lien malveillant est envoyé au(x) compte(s) compromis qui utilise(nt) la solution de sécurité pour réécrire l'URL. 
    • L'auteur de la menace utilise le compte compromis pour vérifier si l'URL malveillant est détecté.
    • Si l'URL n'est pas détectée, l'URL réécrite est insérée dans leurs modèles de phishing et envoyée à leurs cibles.
    • Des campagnes ont été observées à partir de différentes sources d’e-mails, de comptes compromis, de solutions de sécurité des e-mails et de domaines créés manuellement. 

    Protection Mimecast
    • Nous avons identifié plusieurs attributs dans les campagnes utilisant les liens réécrits de Mimecast qui ont été ajoutés à nos capacités de détection.
    • Nous continuons de surveiller tous les comptes clients qui pourraient avoir été compromis et nous nous assurons que les mesures nécessaires sont prises.
     
    Ciblage:

    Global, tous les secteurs


    Identification des services abusés : 


    Toute solution de sécurité des e-mails qui réécrit des liens peut être utilisée à mauvais escient dans le cadre de ce type de campagne, et la liste des services faisant l'objet d'abus identifiés actuellement devrait s'allonger :

    • Mimecast : url.uk.m.mimecastprotect.com
    • Barracuda : linkprotect.cudasvc.com
    • Proofpoint : urldefense.proofpoint.com
    • Darktrace : us01.z.antigena.com
    • Intermedia : url.emailprotection.link
    • TitanHq : linklock.titanhq.com
    • Bitdefender : linkscan.io
    • Hornet Security : atpscan.global.hornetsecurity.com
    • Viper Security : url2.mailanyone.net
    • Topsec : scanner.nextgen.topsec.com

    Lignes d'objet :


    Il existe de multiples variations

    • Date limite de soumission du rapport de feuille de temps cc08618ea37625e4f9f7b330bded9dc3
    • L’alerte de gravité a été déclenchée
    • Avis de retard de paiement
    • Reaction Daily Digest 22 juillet 2024 à 16:08:27
    • Document partagé avec vous

    Recommandations
    • Assurez-vous que votre politique d'analyse des spams est réglée sur le paramètre modéré recommandé.
    • Activez l'enrôlement des appareils dans TTP URL Protect, ce qui permet de réduire considérablement la diffusion de toutes les URL créées pour la campagne.
    • Effectuez une recherche dans vos journaux TTP URL Protect pour déterminer si vos utilisateurs ont accédé à l'un des services faisant l'objet d'abus.
    • Examinez les journaux d'authentification (Mimecast, Microsoft Entra, ADFS, etc.) associés aux utilisateurs qui ont interagi avec les URL abusives afin de déterminer s'il existe un risque de compromission.
    • Assurez-vous que tous les comptes compromis font l’objet d’une enquête, d’une résolution immédiate et qu’une surveillance est mise en place pour détecter toute activité inhabituelle.
    • Informez les utilisateurs finaux de la tendance continue à l’utilisation d’outils légitimes dans des campagnes malveillantes.

    Découvrez les articles de renseignement sur les menaces

    05BLOG_1.jpg
    Threat Intelligence Blog
    New Mimecast Threat Intelligence: How ChatGPT Upended Email 
    sept. 30, 2024
    16BLOG_1.jpg
    Threat Intelligence Blog
    Threat Intelligence Has Never Been More Crucial
    août 27, 2024
    33BLOG_1.jpg
    Threat Intelligence Blog
    Attackers Continue to Shift Delivery Methods
    févr. 21, 2024
    Haut de la page