Cette campagne marketing de phishing utilise une fraude par pièce jointe sournoise

Des scientifiques en sécurité ont partagé des faits sur une campagne de marketing de phishing énergique conçue pour voler les informations d’authentification et les faits des utilisateurs de Microsoft 365.

Homer Pacag de Trustwave’s SpiderLabs a analysé la campagne complexe qui fonctionne en utilisant une nouvelle méthode pour cibler les utilisateurs de Microsoft 365.

«Ce style de campagne de phishing était un peu plus difficile que la normale. En improvisant une pièce jointe à un e-mail HTML qui incorpore du code JavaScript distant positionné sur un site Web d’hébergement Web JavaScript totalement gratuit, et en s’assurant que le code est codé de manière unique, les attaquants cherchent à passer inaperçus pour éviter d’être détectés.

TechRadar vous désire !

Nous cherchons à savoir comment nos téléspectateurs utilisent VPN pour un prochain rapport approfondi. Nous aimerions entendre vos sentiments dans l’enquête ci-dessous. Cela ne prendra pas beaucoup plus de 60 secondes de votre temps.

>> Cliquez sur dans cet article pour démarrer l’étude dans une nouvelle fenêtre

L’attaque consiste à se faufiler dans un fichier HTML avec un nom de fichier alambiqué qui le fait apparaître comme un fichier Excel pour le spectateur occasionnel.

Diviser et conquérir

Pacag dit que l’e-mail fait de son mieux pour se faire passer pour un e-mail professionnel légitime, avec un sujet qui mentionne quelque chose à propos d’une révision de prix. Cependant, il n’y a pas de contenu dans le corps à l’exception de la pièce jointe. L’extension de la pièce jointe la fait apparaître comme un fichier Excel (.xlsx) et dissimule intelligemment sa véritable extension (.htm).

La pièce jointe contient un morceau de texte encodé d’URL qui pointe vers deux URL qui pointent toutes les deux vers votrejavascript.com, dit Pacag, a déjà été utilisé dans une précédente campagne de phishing.

Ce site héberge quelques fichiers JavaScript, tous deux contenant de gros morceaux de texte encodé. Pacag a décodé le texte et combiné les sorties pour révéler 367 lignes de code HTML.

Le code HTML affiche une notification de boîte de message informant l’utilisateur qu’il a été déconnecté de son compte Microsoft 365 et qu’il doit se reconnecter pour afficher le fichier.

L’interface utilisateur de la page HTML frauduleuse est conçue pour imiter l’interface de connexion de Microsoft 365, avec le logo. Pacag note que les escrocs montrent très intelligemment une image floue d’une facture en arrière-plan pour inciter les téléspectateurs à saisir leurs informations d’identification Microsoft 365 afin de visualiser le fichier.

Une fois le hameçonnage effectué, les identifiants de connexion sont ensuite envoyés aux acteurs de la menace. Pacag conclut en disant que l’URL est toujours en ligne « récoltant probablement les informations d’identification de ses victimes ».