Phishing : des attaques sous couvert de captchas

Cofense attire l’attention sur une campagne de phishing qui tire parti d’un captcha pour contourner les systèmes de détection d’URL malveillantes.

Les outils de détection d’URL malveillantes sont efficaces… à condition de trouver les URL à analyser.

Cofense dressait récemment ce constat dans le cadre d’un focus sur une campagne de phishing.

Pour passer sous les radars, cette campagne exploitait un QR code intégré dans des e-mails. Les utilisateurs étaient dirigés vers une fausse page de connexion SharePoint, prétendument pour consulter un « document important ».

phishing-qr

Le point terminal de l’attaque se situait sur les terminaux mobiles, souvent moins bien protégés, comme l’ont notamment relevé des chercheurs de Carnegie Mellon dans une étude sur le phénomène dit du « QRishing ».

Vous avez un message

Autre moyen de contourner l’analyse des URL : les captchas, du nom de ces systèmes de filtrage des robots qui consiste, pour l’utilisateur d’un service en ligne, à prouver qu’il est bien un humain.

Cofense vient d’y consacrer une publication.

Tout part d’un e-mail contenant un lien censé permettre d’écouter un message vocal.

cofense-phishing

L’utilisateur est en fait dirigé vers une page « intermédiaire » contenant un captcha. L’analyse automatique des URL s’en tient à cette page, qui paraît d’autant moins suspecte qu’elle est hébergée sur le cloud de Microsoft (service Stockage Blob).

Une fois le captcha validé, s’ouvre la page de phishing. Elle imite un formulaire de connexion aux services Microsoft.

cofense-login

Une campagne repérée voilà environ un an exploitait les mêmes ressorts. Plus précisément, une fausse page de connexion à Office 365 hébergée sur Azure. Le certificat SSL était par là même signalé comme fourni par Microsoft, donc de confiance.

Banco pour les captchas ?

En début d’année, lumière avait été faite sur une autre campagne de phishing impliquant des captchas.

Elle ciblait les clients d’une banque polonaise à travers des fausses alertes de transactions.
Les victimes étaient invitées à cliquer sur un lien pour confirmer ces opérations.

En fonction de la configuration du navigateur pouvait s’afficher une erreur 404 ou un reCAPTCHA (nom que Google donne à son implémentation du dispositif).
Dans le deuxième cas se lançait le téléchargement du cheval de Troie BankBot, en archive .zip ou en .apk sur les terminaux Android.

Photo d’illustration © ra2studio – Shutterstock.com