Kit de phishing ciblant les Nord-Américains pendant la saison des fêtes !

Les chercheurs d’Akamai ont découvert un kit de phishing avancé qui cible les clients nord-américains pour les fêtes en les attirant avec des offres de vacances.

Selon les analystes d’Akamai, les attaques ont commencé à la mi-septembre, se concentrant sur Halloween et le jour du travail, et ont continué tout au long d’octobre.

De plus, le kit de phishing utilise une approche de contournement et utilise des systèmes pour éviter que les non-cibles ne soient dirigés vers ses pages de phishing.

Ce qui est encore plus intéressant, c’est que le kit utilise un système basé sur des jetons qui garantit que chaque cible est redirigée vers une nouvelle URL de page de phishing. Pour ajouter à cela, l’idée de base autour de ces e-mails de phishing pour les victimes potentielles est la chance de gagner un cadeau d’une marque de confiance.

Les liens dans l’e-mail de phishing ne donnent aucun signe d’avertissement car ils mènent aux sites de phishing après plusieurs redirections, et en même temps, les raccourcisseurs d’URL cachent la plupart des URL.

De plus, les coupables exploitent des services cloud, c’est-à-dire Google, AWS d’Amazon et Azure de Microsoft, et utilisent leur nom pour contourner les systèmes de protection.

En outre, tout visiteur du site de phishing gagne le prix promis après avoir terminé un court sondage et également le minuteur de cinq minutes, ce qui garantit que ceux qui participent au court sondage sont remplis d’un sentiment d’urgence.

Lire : Mirai RapperBot Malware attaquant les serveurs de jeux en ligne avec DDoS

Certaines des marques que les attaquants imitent incluent Delta Airlines, la société d’articles de sport Dick’s, Tumi (qui fabrique des bagages) et les clubs de gros Costo et Sam’s Club. Pour rendre l’attaque de phishing plus réussie, les attaquants ont utilisé de faux avis de personnes montrant les prix reçus.

Pour rendre l’attaque de phishing plus réussie, les attaquants ont utilisé de faux avis de personnes montrant les prix reçus.

Eh bien, après avoir gagné le prix, les victimes sont ensuite invitées à payer pour l’expédition, et pour cela, elles doivent remplir leurs coordonnées de carte, naturellement, il n’y a pas de prix à expédier, mais plutôt les détails de la carte de paiement sont volés par les acteurs malveillants.

Selon la société de sécurité Akamai, environ 89 % des utilisateurs visitant ces domaines de phishing proviennent des États-Unis et du Canada. De plus, en fonction de l’emplacement de l’utilisateur, le domaine de phishing les dirige vers un site de phishing différent qui imite la marque locale disponible là-bas.

Chacun des e-mails de phishing contient un lien différent vers une page d’atterrissage avec un ancre ; pour ceux qui ne le savent pas, une ancre est un lien qui redirige l’utilisateur vers une partie spécifique d’une page liée. Cependant, dans cette attaque de phishing, la balise d’ancre constitue un jeton qui est utilisé par JavaScript sur la page d’atterrissage de phishing pour reconstruire l’URL vers laquelle la cible sera redirigée.

Lire : Russie avec amour Les attaques des hacktivistes contre les organisations ukrainiennes avec le ransomware Somnia

Akamai mentionne que les valeurs après l’ancre HTML ne seront pas considérées comme des paramètres HTTP et ne seront pas envoyées aux serveurs, pourtant cette valeur est toujours accessible par le code JavaScript s’exécutant sur le navigateur de la victime.

Quant à la situation de l’escroquerie de phishing, les valeurs placées après l’ancre HTML pourraient être ignorées ou manquées par les systèmes de sécurité qui vérifient si elles sont malveillantes ou non. De même, la valeur sera également manquée par l’outil d’inspection du trafic.

Les outils d’inspection et les systèmes de sécurité manquent ce jeton, donc cela ne crée aucun risque pour l’attaquant ; au contraire, cela aide à éloigner les chercheurs, les analystes, le trafic indésirable et les personnes aléatoires de la page d’atterrissage de phishing.

Ainsi, en plus d’exclure les non-cibles, les jetons peuvent être utilisés pour suivre les victimes, la performance des attaques, etc.

Par conséquent, en utilisant toutes les méthodes connues et en évitant la détection, cela constitue une menace puissante pour les Nord-Américains et les Canadiens !

Lire : Qualcomm annonce le SoC phare Snapdragon 8 Gen 2