Actualités

“L’équipe interne de renseignement sur les menaces de Facebook est au courant de ces schémas de collecte d’informations d’identification” : depuis Septembre 2021, nouvelle campagne de phishing sur Facebook à hauteur de 1 M de comptes-utilisateur !

Dans un billet publié depuis début Juin 2022, l’équipe sécuritaire de PIXM fait le point sécuritaire sur une campagne de phishing ayant œuvré massivement sur Facebook : depuis, au moins, Septembre 2021 – et en corrélation avec les mises en lumière, début 2021, par Mantas Sasnauskas – les internautes usitant le réseau social ont ainsi vu compris, potentiellement, leurs identifiants ; hauteur de la dérobade : 1 millions de comptes ou profils concernés…

 

 

Plus vrai que nature, la campagne de phishing ou hameçonnage renvoie, donc, à une page d’identification (tronquée) : si la (future) victime avait le malheur de s’y loguer, ses identifiants étaient, alors, automatiquement, ex-filtrés. Pic observé entre Avril et Mai 2022, cette campagne ciblant les identifiants Facebook, une re-direction (serveur, URL) était opérée pour re-diriger l’internaute vers le site-miroir. Quand cela était le cas (ou une fois le phishing effectif ?), une URL personnalisée lui était attribuée pour signifier l’approche de la victime sur le site frauduleux.

 

 

Fait inquiétant, une partie du schéma de cyber-attaque repose sur une échappée sécuritaire partielle du code de liens ou URLs relatifs à la collecte ou la procédure d’identification : “il est apparu évident que ces liens provenaient de Facebook lui-même. Autrement dit, un compte d’utilisateur serait compromis et, de manière probablement automatisée, l’auteur de la menace se connecterait à ce compte et enverrait le lien aux amis de l’utilisateur via Facebook Messenger. L’équipe interne de renseignement sur les menaces de Facebook est au courant de ces schémas de collecte d’informations d’identification, mais ce groupe utilise une technique pour éviter que leurs URL ne soient bloquées. Cette technique implique l’utilisation de services de déploiement d’applications tout à fait légitimes pour être le premier maillon de la chaîne de redirection une fois que l’utilisateur a cliqué sur le lien. Une fois que l’utilisateur a cliqué, il sera redirigé vers la page de phishing réelle. Mais, en ce qui concerne ce qui atterrit sur Facebook, c’est un lien généré à l’aide d’un service légitime que Facebook ne pourrait pas bloquer sans bloquer également les applications et les liens légitimes. Cet acteur malveillant utilise des services populaires tels que glitch.me, Famous.co, amaze.co, funnel-preview.com, entre autres. Ces sites Web sont utilisés pour déployer et générer des URL pour des applications légitimes complètes, mais sont également régulièrement utilisés par les acteurs de la menace en raison de leur facilité de déploiement rapide“, ajoutent les chercheurs.

 

De manière assez avancée, les cyber-attaquants avaient même organisé un retour sur cette collecte illégitime de données : via le site whos[.]amung[.] us, par victime, des statistiques étaient consultables avec une URL dédiée par utilisateur. Par simple navigation dans le code, les chercheurs ont ainsi recensé, rien que pour cette campagne et uniquement pour la période analysée, 405 “pseudos uniques“… avec les prix de revente pratiqués (et selon les propos du cyber-attaquant ; les chercheurs s’étant fait passé pour des acquéreurs intéressés !), il a pu être question d’un gain rondelet de 59 852 651,03 dollars USD (pour un total de sessions estimé à 399 017 673,53 et un lot – par centaine de visites – estimé à 150 dollars USD).

 

Une analyse du code additionnelle, pour tenter de découvrir les auteurs de cette campagne de phishing assez gargantuesque, a permis de mettre en lumière BenderCrack, un site Web saisi depuis le 17 Janvier 2021 mais qui, par consultation d’archives, a permis  de remonter avant la fermeture, laissant entrevoir diverses informations dont le numéro de téléphone ainsi qu’une adresse mail. Ecrit en langage hispanique (Desarrollado por), d’autres informations ont été trouvées mais, pour l’heure, non-divulguées dans le billet de l’équipe sécuritaire, en raison d’une enquête actuelle menée par la Police colombienne et Interpol.

Du fait que ce contournement (métrique) passait sous les radars de Facebook, l’exploit reste, potentiellement et actuellement, viable, alertent les chercheurs qui recommandent, au pire, de re-diriger vers un contenu nul ou un message indiquant un blocage… A veiller !

 

 

 

Source : Blog PIXM Security – 6 Juin 2022 – Facebook : ex-filtration d’identifiants (1 million) via une campagne de phishing.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0