Rapport sur le phishing et les malwares - T1 2023
Todd Stansfield
—13 avril 2023
—5 min de lecture
Vade a constaté une explosion des attaques de phishing au 1er trimestre 2023 qui, avec une hausse de 102 % par rapport à la période précédente, marque le début d’année le plus actif depuis 2018. Étudions ensemble les chiffres de ce nouveau rapport.
Tendances du phishing et des malwares : plus de phishing au 1er trimestre qu’au 4e
Vade a détecté 562,4 millions d’emails de phishing uniques au 1er trimestre 2023, soit 284,8 millions de plus qu’au trimestre précédent. C’est janvier qui a le plus contribué à cette performance avec 488,5 millions d’emails, soit cinq fois le total combiné de février (26,6 millions) et mars (47,3 millions). Cette répartition des emails de phishing entre les différents mois diffère de celle de l’année précédente, où le mois de mars avait été le plus actif.
Nombre d’emails de phishing, 4e trimestre 2022 - 1er trimestre 2023
Phishing et malwares : léger reflux des malwares
Le nombre de malwares a diminué de 7 % au cours du trimestre, avec 52,3 millions d’emails. C’est 13 % de moins que sur la même période en 2022. Malgré tout, ce chiffre reste supérieur à celui observé en 2021, 2020 et 2019. Les emails contenant des malwares ont augmenté régulièrement tout au long du trimestre, avec 15,7 millions d’emails en janvier, 16,2 millions en février et 20,3 millions en mars.
Nombre de malwares, 4e trimestre 2022 - 1er trimestre 2023
Tendances du phishing et des malwares : les attaques ciblent les suites de productivité en adoptant de nouvelles techniques
Mais derrière tous ces chiffres, plusieurs tendances importantes se dégagent. La plus évidente, c’est que les attaques de phishing usurpant l’identité des marques et des suites de productivité de Microsoft et Google ne faiblissent pas. Nous avons déjà beaucoup parlé de cette tendance, mais les chercheurs de Vade ne cessent de découvrir des techniques inédites visant à détourner l’image de ces marques qui ont pignon sur rue.
Ils ont notamment détecté une attaque de phishing particulière en mars 2023. Cette campagne ciblait Microsoft 365 et tirait parti de liens d’attributions YouTube et d’un CAPTCHA Cloudflare légitimes pour passer inaperçue. Le recours aux liens d’attribution de YouTube est inédit et pourrait permettre de tromper les filtres de messagerie qui détectent habituellement les redirections suspectes.
Email de phishing Microsoft 365 détecté par Vade
Pour les internautes visés, tout commence par un email les informant que leur mot de passe Microsoft 365 a expiré et qu’ils doivent donc le mettre à jour pour éviter toute interruption de service. Ils peuvent alors conserver leur mot de passe existant en cliquant sur le bouton Keep Same Password (Conserver le même mot de passe), qui est lié à une URL YouTube contenant l’expression attribution_link.
Les liens d’attribution sont généralement utilisés pour créditer une personne lorsque l’on reprend son contenu. Dans le cas présent, ils servent à rediriger les internautes vers une page de phishing. S’ils cliquent sur ce bouton, ils sont donc rapidement redirigés vers YouTube, puis vers un CAPTCHA Cloudflare. La page est probablement hébergée sur Cloudflare et utilise une protection contre l’analyse d’URL et les robots. Les hackers utilisent YouTube et Cloudflare pour rendre leur campagne plus légitime et contourner les passerelles de messagerie qui ont placé ces plateformes sur liste blanche.
Page intermédiaire Cloudflare détectée par Vade
Une fois que les utilisateurs ont cliqué sur le CAPTCHA, ils sont redirigés vers une page de phishing Microsoft 365. La page personnalise l’expérience en renseignant automatiquement l’adresse email de l’utilisateur et en laissant le champ vide pour le mot de passe.
Page de phishing de destination Microsoft 365 détectée par Vade
Si l’utilisateur tente de se connecter depuis cette page, le hacker pourra récupérer ses identifiants.
D’autres attaques de phishing ont déjà fait appel à des liens YouTube pour rediriger des utilisateurs vers des pages Web malveillantes, mais elles utilisaient toujours l’argument « redirect ». Cette façon de faire révélait que les liens YouTube ne correspondaient pas à l’URL de la page de destination.
Dans le cas présent, aucun éditeur de solution de sécurité présent sur VirusTotal n’a considéré le lien d’attribution YouTube comme malveillant.
Tendances du phishing et des malwares : les attaques de phishing combinent plusieurs techniques sophistiquées
En mars 2023, Vade a détecté une nouvelle campagne de phishing combinant plusieurs techniques de haut vol pour compromettre les portefeuilles de cryptomonnaies de leurs victimes. Elle détournait Google Traduction pour ne pas se faire repérer par les outils de sécurité de l’email, utilisait du JavaScript et du CSS pour camoufler des éléments de ses pages de phishing et hébergeait son kit de phishing sur le réseau décentralisé Interplanetary File System (IPFS).
Email de phishing se faisant passer pour Wallet Connect
L’attaque commence par un email semblant provenir de Wallet Connect, une application qui permet de connecter des portefeuilles de cryptomonnaies à des applications décentralisées. Cet email indique à son destinataire qu’il doit vérifier son portefeuille pour éviter la suspension de son compte.
En coulisses, le hacker a placé son kit de phishing sur le réseau décentralisé IPFS. Cette technologie issue du Web 3.0 est un réseau décentralisé de stockage et de diffusion en P2P. IPFS permet à des utilisateurs du monde entier d’échanger des fichiers, ce qui en fait une cible particulièrement intéressante pour les cybercriminels. Les victimes peuvent ouvrir le fichier avec ou sans client IPFS sur leur appareil, car les hackers se servent de passerelles comme de proxys. IPFS permet également aux cybercriminels d’héberger leur kit de phishing sans bourse délier. Cerise sur le gâteau, une fois qu’ils ont envoyé un fichier sur le réseau, eux seuls peuvent le supprimer.
Pour contourner la détection par les systèmes de sécurité susceptibles d’identifier le format IPFS dans les emails, les hackers traduisent l’URL avec Google Traduction. De « http://<cid>.ipfs.<hôte passerelle>/<chemin> » elle devient « http://<cid>[-]ipfs[-]<hôte passerelle>/<chemin> », les [.] se transformant en [-]. Le processus y ajoute également l’expression « translate[.]goog/ ». Cet ajout permet de tirer parti de la réputation et de la légitimité du domaine de Google, ce qui augmente la probabilité que l’email malveillant arrive dans la boîte de réception de ses destinataires.
Une fois que la victime a cliqué sur le lien, elle est redirigée vers une page affirmant vérifier qu’elle n’est pas un robot. En haut de la page, la bannière Google Traduction précise que le texte a été traduit dans la langue de la victime, ce qui rend la page d’autant plus légitime.
Fausse page de vérification
Le code HTML de la page révèle également qu’elle est organisée autour de trois nœuds/structures de données. Le premier nœud affiche le faux écran de vérification pendant 5 secondes à l’aide de propriétés CSS.
Propriétés JavaScript et CSS utilisées sur la page de phishing
Pour supprimer le premier nœud et le remplacer par le second, le hacker combine propriétés JavaScript et CSS.
Page de phishing Connect Wallet
Une fois le premier nœud masqué, le deuxième nœud affiche la page de phishing. Si l’utilisateur clique sur Connect Wallet (Connecter le portefeuille), le troisième nœud s’affiche, avec une nouvelle page présentant une fausse liste de 21 portefeuilles de cryptomonnaies auxquelles il peut se connecter.
Fenêtre présentant une fausse liste de portefeuilles de cryptomonnaies
Une fois que la victime a sélectionné un portefeuille de cryptomonnaies auquel se connecter, la page de phishing affiche une fenêtre simulant une connexion au service.
Fenêtre simulant une connexion à un portefeuille de cryptomonnaies
Ensuite, la page affiche une autre fenêtre, demandant cette fois-ci à la victime de saisir les informations de vérification de son portefeuille, notamment la phrase de récupération, le fichier Keystore JSON et la clé privée. Les chercheurs de Vade ont pu confirmer que le kit de phishing utilisé dans cette attaque est le même que celui utilisé dans une campagne qui s’est déroulée en 2022.
Page de phishing permettant de récupérer les informations de vérification
Sur un appareil mobile, la campagne de phishing est moins évidente à détecter. Le deuxième nœud, qui présente la page de phishing, masque la barre supérieure de Google Traduction par le biais de propriétés CSS. Cette astuce rend la page de phishing encore plus convaincante aux yeux des utilisateurs qui pourraient se méfier de cette barre.
Campagne de phishing vue sur un appareil mobile
Cette campagne fait suite à un récent pic de phishing et d’usurpation en lien avec les services et entreprises Google.
L’email reste le principal vecteur du phishing et des malwares
L’email offre aux hackers davantage d’occasions d’exploiter les entreprises, car ces dernières adoptent toujours plus massivement des suites de productivité comme Microsoft 365 et Google Workspace. L’email est aussi un moyen pour les hackers de détourner une vaste palette de services légitimes et de recourir à des techniques permettant de renforcer l’étendue, la légitimité perçue et l’efficacité globale de leurs attaques.
Pour rester protégées, les organisations n’ont d’autre choix que de muscler leur cybersécurité. Elles doivent notamment améliorer leur cyberhygiène en mettant en place une formation de sensibilisation au phishing. Elles doivent également compléter leur sécurité de l’email native par une protection à plusieurs niveaux issue d’une solution tierce intégrée, comme Vade for M365, qui combine intelligences artificielles et humaines pour créer un modèle de sécurité dynamique.