• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

Phishing : usurpant les traits d’une boîte de connexion via Chromium ou l’identité d’un établissement bancaire, un double-hameçonnage dangereux !

Une fois de plus, les exemples sont malheureusement loin de manquer concernant les campagnes de phishing (hameçonnage) : d’une part, via un PoC démontrant, sous Chromium, un détournement de la boîte de connexion Microsoft et, d’autre part, via deux campagnes ayant permis à une personne, entre 2020 et 2021, de rafler pas moins de 4 millions d’euros, grâce à des mails bancaires qui ont été exploités pour duper les victimes !

 

 

“L’Office fédéral de la police criminelle (BKA) a perquisitionné aujourd’hui trois propriétés en Rhénanie du Nord-Westphalie à la demande du parquet de Cologne, point central et point de contact pour la cybercriminalité NRW (ZAC NRW). Un mandat d’arrêt à l’encontre d’un citoyen allemand de 24 ans, demandé par le parquet de Verden (Aller) – Office central pour la criminalité sur Internet et informatique (cybercriminalité), et exécuté par le tribunal régional de Hanovre, a été exécuté et il a été arrêté. Lui et deux autres suspects sont accusés d’avoir commis des fraudes informatiques commerciales dans un grand nombre de cas et des sabotages informatiques dans des cas particulièrement graves […] les accusés sont accusés d’avoir causé au moins quatre millions d’euros de dommages par fraude informatique. Les trois hommes auraient obtenu l’argent en escroquant les clients des banques, à qui ils ont envoyé des e-mails de phishing à grande échelle“, est-il communiqué par la BKA, le 29 Septembre 2022. La viralité prenait lieu depuis un lien vérolé (dans un mail, donc) ce qui conduisait à une fausse page d’identification associés à un TAN, un marqueur qui permettait aux cyber-attaquants, par victime, de voir la télémétrie ou donnée associée à l’aspiration-compte. Ces données comprenaient, entre-autres, le solde du compte ou le montant en banque (en crédit). Des activités connexes seraient, également, suspectées (enquête en cours) de la part de ces trois personnes qui auraient exploitées des cyber-attaques par DDoS – voire à des offres de type CaaS, Crime-as-a-Service – pour obtenir “d’autres données bancaires” tout en camouflant leurs activités sur des serveurs ou solutions professionnels (sites Web d’entreprise). Parmi le trio de ce cyber-groupe, deux personnes sont accusés de 124 actes relatifs à la fraude informatique, sur la période comprise entre le 3 Octobre 2020 jusqu’au 29 Mai 2021 à Hanovre “et ailleurs“.

Toujours dans le domaine du phishing, un PoC a été démontré, depuis le 1er Octobre 2022 par un dénommé Mr.d0x : depuis le mode Application de Chromium (exploité dans Microsoft Edge ou encore Google Chrome, bien sûr) et toute version système confondue (Windows, macOS, Linux…), il est possible de concevoir “facilement” une application-miroir pour mieux duper l’utilisateur. Plusieurs étapes ou types de technique sont ainsi mis en avant :

 

Préparation

  • Ligne de commande -app (mode application) : ouverture-fenêtre (distincte) en mode Bureau (non-pas sous les traits d’un navigateur), incarnation par un favicon (Barre des tâches), initialisation du site-miroir sans afficher la barre d’adresse (URL).

 

Exploits ou variations

  • Phishing interne (mais compatible vers une externalisation) : au préalable, personnalisation ou configuration de la barre d’adresse (définition de -app + pointage vers le site-miroir en question) ;

  • Site-miroir (Endpoint) logiciel : depuis un emplacement-cible en local (le VPN étant cité en exemple) ou encore une boîte de connexion Microsoft ;

  • Compatibilité sous macOS et Linux : support de ce mode application avec, en finesse, “faire correspondre la police de la barre d’adresse avec la police du système d’exploitation” ;

  • Paramétrage ou options de lancement sous JavaScript du site-miroir ou de la fenêtre : fermeture de fenêtre (window.close()), redimensionnement de la fenêtre (window.resizeTo(x,y)) ou positionnement de la fenêtre (window.moveTo(x,y)).

 

 

 

La reproduction de ce type d’exploit montre encore combien les sites-miroir ou boîtes de connexion peuvent être des appâts hautement convaincants… A veiller !

 

 

 

Sources :

 

50% J'apprécieVS
50% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.14.0