learn.hack.repeat

Catégorie : Phishing

Succès dans le démantèlement du groupe Phishing-as-a-Service BulletProofLink

Les autorités malaisiennes ont récemment annoncé un succès significatif dans la lutte contre la cybercriminalité : le démantèlement du groupe BulletProofLink, spécialisé dans le Phishing-as-a-Service (PhaaS).

D’après les informations fournies par la Police Royale de Malaisie, cette opération a été réalisée le 6 novembre 2023 en collaboration avec la Police Fédérale Australienne et le Bureau Fédéral d’Investigations des États-Unis (FBI). L’intervention était basée sur des renseignements indiquant que les opérateurs de cette plateforme criminelle étaient basés en Malaisie.

Au cours de cette opération, huit individus, âgés de 29 à 56 ans, ont été arrêtés, y compris le cerveau de cette organisation criminelle. Ces arrestations ont eu lieu dans diverses régions telles que Sabah, Selangor, Perak et Kuala Lumpur, comme rapporté par le New Straits Times.

Les autorités ont également saisi des serveurs, des ordinateurs, des bijoux, des véhicules et des portefeuilles de cryptomonnaies contenant environ 213 000 dollars.

BulletProofLink, également connu sous le nom de BulletProftLink, est réputé pour fournir des modèles de phishing prêts à l’emploi via des abonnements. Ces modèles permettent à d’autres acteurs malveillants de mener des campagnes de collecte de données en imitant les pages de connexion de services populaires tels qu’American Express, Bank of America, DHL, Microsoft et Naver.

En septembre 2021, une analyse de Microsoft a révélé que BulletProofLink pratiquait ce qu’on appelle le « vol double », en envoyant les informations d’identification volées à la fois à leurs clients et aux développeurs principaux, ouvrant ainsi de nouvelles voies de monétisation.

La semaine dernière, la société de cybersécurité Intel 471 a rapporté que BulletProftLink était associé à l’acteur de menace AnthraxBP, également connu sous les pseudonymes TheGreenMY et AnthraxLinkers. Ce dernier maintenait un site web actif proposant des services de phishing et opérait sur divers forums clandestins et canaux Telegram sous plusieurs identités.

L’image représente une capture d’écran des modèles de pages d’hameçonnage disponibles à l’achat sur le site Web BulletProftLink à la date du 21 avril 2023. Source: intel471.com

BulletProftLink serait actif depuis au moins 2015, avec une boutique en ligne ayant plus de 8 138 clients actifs et offrant 327 modèles de pages de phishing jusqu’en avril 2023.

Une caractéristique notable de BulletProftLink est son intégration d’Evilginx2, facilitant les attaques de type adversary-in-the-middle (AiTM), permettant aux acteurs malveillants de dérober des cookies de session et de contourner les protections d’authentification multifactorielle.

Selon Intel 471, les schémas PhaaS comme BulletProftLink alimentent davantage d’attaques, car les identifiants volés sont l’une des principales méthodes par lesquelles les pirates malveillants accèdent aux organisations.

Trend Micro souligne que les acteurs de menaces adaptent constamment leurs tactiques en réponse aux interruptions et adoptent des approches plus sophistiquées. On a observé des attaques AiTM utilisant des liens intermédiaires vers des documents hébergés sur des solutions d’échange de fichiers, comme DRACOON, contenant des URL vers des infrastructures contrôlées par les adversaires.

Ces méthodes innovantes peuvent contourner les mesures de sécurité des emails, car le lien initial semble provenir d’une source légitime et aucun fichier n’est transmis au terminal de la victime. Le document hébergé contenant le lien peut être consulté via le serveur d’échange de fichiers dans le navigateur.

Trend Micro

Plus d’information:
https://intel471.com/blog/malaysian-police-disrupt-the-phisherman
https://www.trendmicro.com/en_us/research/23/k/threat-actors-leverage-file-sharing-service-and-reverse-proxies.html
https://github.com/kgretzky/evilginx2
https://www.rmp.gov.my/news-detail/2023/11/08/video-pilihan-op-khas-bulletproftlink-hasil-rampasan
https://www.nst.com.my/news/crime-courts/2023/11/976212/igp-police-arrest-eight-people-international-syndicate-which#google_vignette

BreachForums et Pompompurin dans la tourmente

As-tu entendu parler de l’arrestation de Pompompurin ? Il est le propriétaire présumé du forum de cybercriminalité divulgation BreachForums. Apparemment, il a été arrêté pour complot visant à inciter des gens à vendre des éléments d’accès non autorisés. C’est grave !

Source: pexels.com

Quand la police l’a arrêté, il a avoué être en fait Connor Brian Fitzpatrick, alias Pompompurin, la personne qui gère BreachForums. Il a été libéré contre une caution de 300 000 dollars et devra comparaître devant le tribunal le 24 mars prochain. En attendant, il ne peut se déplacer que dans certains districts et il doit éviter tout contact avec des témoins et des coaccusés.

Le truc c’est que BreachForums est le plus grand forum de cybercriminalité au monde, donc c’est un peu chaud que le gars qui le dirige se fasse prendre comme ça. Mais bon, un admin du forum a déclaré qu’il continuerait de fonctionner normalement, donc ça ne va pas arrêter les hackers et autres gangs de ransomware qui l’utilisent pour vendre des données volées.

Pompompurin est un acteur majeur de la scène underground de la cybercriminalité. Avant de créer BreachForums, il était très actif sur RaidForums, un autre forum de hacking. Depuis la saisie de RaidForums par le FBI en 2022, il a créé BreachForums pour continuer ses activités. Il a notamment été impliqué dans plusieurs grosses violations de données, comme l’envoi de faux e-mails de cyberattaque à partir du portail LEEP du FBI, le vol de données de clients de Robinhood et l’utilisation d’un bug pour confirmer les adresses e-mail de 5,4 millions d’utilisateurs de Twitter.

La semaine dernière, BreachForums a été utilisé pour essayer de vendre des données personnelles d’hommes politiques américains qui avaient été volées lors d’une intrusion chez D.C. Health Link, un fournisseur de soins de santé pour les membres de la Chambre des représentants des États-Unis, leur personnel et leurs familles. C’est certainement une des raison qui ont fait que Pompompurin a eu droit à une attention toute particulière de la part du FBI.

Plus d’information:
https://www.bleepingcomputer.com/news/security/alleged-breachforums-owner-pompompurin-arrested-on-cybercrime-charges/

Sécurité ? Mais qui donc va m’attaquer ?

Il y a actuellement une plus grande acceptation de la sécurisation des systèmes informatiques des entreprises et des institutions publiques, surtout après l’irruption du ransomware Wannacry en mai 2017. Toutefois, cette acceptation n’est pas totale, et de nombreuses entreprises et personnes ordinaires hésitent encore à le faire, se posant la même question : « Mais qui donc va m’attaquer ? ».

Source: pexels

Depuis que Wannacry est devenu public en mai 2017, les entreprises ont commencé à être plus conscientes de la nécessité de mettre en place un système sécurisé dans leurs équipements et services, mais il y a encore beaucoup d’institutions qui n’ont pas mis en place ce type de système et, si elles l’ont fait, elles n’ont pas mis en œuvre des politiques de sécurité correctes.

Pourquoi des mesures ne sont-elles pas prises ?

Il existe plusieurs raisons pour lesquelles les entreprises et les particuliers ne prennent pas suffisamment de mesures, mais la plupart d’entre elles peuvent se résumer en un mot : désinformation.

Les médias d’information, pour la plupart, exposent les attaques menées contre les grandes entreprises ou institutions parce que ces nouvelles auront un grand impact et, de plus, il est plus difficile pour une petite entreprise de s’exposer publiquement. En outre, les informations diffusées dans les médias seront biaisées par ce que l’entreprise vous dit.

Une grande entreprise, par exemple, dira à un interlocuteur qu’elle est confrontée à un nouveau ransomware, un virus malveillant, ou que ses données ont été divulguées. Cependant, il ne dira normalement pas comment cela s’est produit ni quel était le vecteur d’entrée de l’attaquant, sauf à une autorité de cybersécurité (NCSC, NIST, CSIRT, etc.).

Phishing et vishing

Il est également possible qu’en raison du type de nouvelles sur les attaques qui apparaissent dans les médias, lorsque nous pensons à une attaque, nous pensons à un logiciel malveillant, à un ransomware, à un virus… Cependant, nous ne pensons généralement pas aux attaques de phishing ou de vishing, qui sont des attaques d’ingénierie sociale.

Le phishing consiste à inciter une personne à partager des informations confidentielles, telles que des mots de passe ou des cartes de crédit, au moyen d’un lien envoyé par courrier électronique ou par SMS, en se faisant passer pour une autre entité.

Le vishing consiste également à inciter l’utilisateur à partager des informations, mais par le biais d’un appel électronique, et ne nécessite pas de connaissances informatiques pour mener à bien cette cyber-attaque.

Ces types d’attaques sont très courants de nos jours, outre le fait qu’ils constituent un important vecteur d’entrée dans le système et qu’avec un peu de sensibilisation, il est possible de les atténuer.

Quels sont les problèmes ?

Il y a deux problèmes majeurs :

  • Si les attaques montrées ne concernent que les grandes entreprises ou institutions, les gens pensent que, s’ils ne font pas partie de ces membres, ils ne seront pas attaqués. Par conséquent, les PME et les personnes ordinaires ne vont pas s’inquiéter de la sécurisation de leurs systèmes.
  • Si, en outre, ces actualités ne comportent pas les vecteurs d’entrée des attaquants, il est très probable qu’elles ne seront pas prises en compte dans les systèmes à sécuriser. Par exemple, un élément clé de la sécurisation d’un système est la sensibilisation, car un logiciel malveillant peut s’introduire par hameçonnage ou des données peuvent être volées par un simple hameçonnage vocal.

Et pourquoi les petites entreprises ne signalent-elles pas publiquement les attaques ?

Lorsqu’une petite entreprise est attaquée, deux choses principales peuvent se produire :

  • Si l’attaque n’est pas puissante et qu’ils y survivent, ils ne s’exposeront pas eux-mêmes dans les médias publics, car ils exposeraient que leurs systèmes ne sont pas sécurisés. Une grande entreprise a son public déjà établi, mais pas une PME, qui perdrait des opportunités de marché et pourrait donc facilement faire faillite.
  • Si l’attaque est puissante et que l’entreprise n’y survit pas, ce sont les responsables de la sécurité qui perdront ces opportunités de marché et peut-être même les chances de travailler à nouveau dans le secteur.

C’est pourquoi il y a tant de désinformation sur le sujet. Cependant, certains éléments, tels que ceux examinés dans cet article, nous permettent de vérifier qu’effectivement, les PME et les particuliers sont également attaqués.

Alors, que nous montrent-ils ?

Outre les méthodes d’information classiques, il existe des sites web et des éléments qui nous présentent ce type d’informations de manière plus détaillée, comme les analyses d’acteurs du marché (IBM, Kaspersky, etc…). En outre, vous pouvez également vous tenir au courant des dernières nouvelles sur ce sujet sur ce blog 🙂 .

Ces sites présentent les dernières vulnérabilités découvertes dans les systèmes informatiques, ainsi que des statistiques sur les attaques les plus courantes et les lieux où ces attaques ont été menées. Par exemple, Kaspersky présente ici des statistiques sur les cybermenaces financières en 2021.

Dans ces statistiques, on peut voir qu’il y a eu pas mal de campagnes de phishing (8,2%), principalement des attaques de phishing visant le commerce électronique. En outre, ces attaques visaient principalement les passerelles de paiement telles que Paypal ou Mastercard, qui sont des moyens de paiement largement utilisés par la population générale.

Il nous montre également les plateformes que les attaquants usurpent le plus, comme Apple, Amazon, eBay ou Alibaba, des sites web sur lesquels nous avons l’habitude d’acheter un grand nombre d’articles en permanence et auxquels, en cas d’attaque, nous devons être préparés pour éviter de nous faire dérober.

Conclusion

Aujourd’hui, de nombreuses personnes ne se soucient pas outre mesure de la protection de leurs données en ligne ou de la fourniture d’un service entièrement sécurisé. Ils pensent, à cause des médias, que rien ne leur arrivera et n’ont pas à l’esprit qu’ils sont les plus facilement attaqués.

Si une personne est capable de vous voler dans la vie réelle sans appartenir à une grande entreprise, pourquoi ne serait-elle pas capable de vous voler sur Internet ? Et si vous mettez des alarmes, des chiens de garde et des systèmes de surveillance sur votre porte d’entrée, pourquoi ne le feriez-vous pas sur vos systèmes virtuels ?

Ou encore plus simple : si vous verrouillez votre porte d’entrée chaque fois que vous sortez, même si vous ne travaillez pas pour une multinationale, pourquoi ne pas le faire sur le web ?

Plus d’information:
https://securelist.lat/financial-сyberthreats-in-2021/96250/
https://go.kaspersky.com/rs/802-IJN-240/images/KSB_statistics_2021_eng.pdf
https://www.ibm.com/reports/data-breach
https://www.ibm.com/reports/threat-intelligence/

BlueBleed : nouvelle fuite de donnée chez Microsoft

Microsoft a signalé que les informations confidentielles de certains de ses clients ont été exposées par une mauvaise configuration accessible via Internet.

La mauvaise configuration du serveur a été découverte par la société de renseignement sur les menaces de sécurité SOCRadar, qui a averti la société américaine le 24 septembre 2022, laquelle a sécurisé le serveur concerné dès la notification.

« Cette mauvaise configuration a entraîné un accès potentiel non authentifié à certaines données de transactions commerciales se rapportant à des interactions entre Microsoft et des clients potentiels, telles que la planification ou la mise en œuvre et la fourniture potentielles de services Microsoft. »

Déclarations de l’entreprise

Ils ont également ajouté que leur enquête interne n’a trouvé aucune indication que les comptes ou les systèmes des clients avaient été compromis et que les clients concernés avaient été informés directement.

Selon l’entreprise américaine, les informations exposées comprennent des noms, des adresses électroniques, le contenu des courriels, le nom de l’entreprise et des numéros de téléphone, ainsi que des fichiers liés aux affaires entre les clients concernés et Microsoft ou un partenaire Microsoft autorisé.

Redmond a ajouté que la fuite était due à une « mauvaise configuration involontaire sur un terminal qui n’est pas utilisé dans l’ensemble de l’écosystème Microsoft » et non à une faille de sécurité.

65 000 entités touchées dans le monde

De son côté, SOCRadar nuance encore et ajoute que, d’après son analyse, les données divulguées :

« Il s’agit notamment de documents de preuve d’exécution (PoE) et de déclaration de travaux (SoW), d’informations sur les utilisateurs, de commandes/de devis de produits, de détails de projets, de données PII (informations personnellement identifiables) et de documents susceptibles de révéler une propriété intellectuelle. »

SOCRadar
Outil en ligne pour rechercher des données ayant fait l’objet d’une fuite. Source: SOCradar

Les chercheurs ont baptisé cette fuite « BlueBleed », en référence aux informations sensibles divulguées par les magasins de données mal configurés dans leur ensemble, et ont créé un site web portant le même nom.

Vérifiez si vous êtes concerné par la fuite de Microsoft

Le portail de recherche de fuites de données de SOCRadar s’appelle BlueBleed et permet aux entreprises de savoir si leurs informations confidentielles ont également été exposées avec les données ayant fait l’objet de la fuite.

En plus de ce qui a été trouvé à l’intérieur du serveur mal configuré de Microsoft, BlueBleed permet également de rechercher des données collectées dans cinq autres buckets de stockage public.

Sur le seul serveur de Microsoft, SOCRadar affirme avoir trouvé 2,4 To de données contenant des informations sensibles de plus de 65 000 entreprises de 111 pays, plus de adresses emails, 133 000 projets et 548 000 utilisateurs exposés découverts en analysant les fichiers ayant fait l’objet de la fuite jusqu’à présent.

« Les acteurs de la menace qui ont pu accéder au référentiel peuvent utiliser ces informations de différentes manières pour extorquer, faire du chantage, créer des tactiques d’ingénierie sociale à l’aide des informations exposées ou simplement vendre les informations au plus offrant sur le dark web et les canaux Telegram », avertit SOCRadar.

Plus d’information:
https://socradar.io/labs/bluebleed
https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/

Caffeine : une plateforme de Phishing-as-a-service

Récemment, une nouvelle plateforme de Phishing-as-a-Service (PhaaS) a été découverte, qui permet de lancer des attaques de phishing facilement, en utilisant sa fonction de processus d’enregistrement ouvert et en permettant ainsi à n’importe quel utilisateur de se faire passer pour une banque de manière rapide et facile.

Les attaques de phishing ne sont pas nouvelles, mais les caractéristiques d’utilisation de Caffeine pour les cybercriminels la distinguent des autres plateformes PhaaS, où les cybercriminels n’ont pas besoin d’invitations/références, ni de l’approbation d’un forum de piratage ou d’un administrateur de Telegram.

En outre, les modèles de phishing de Caffeine ciblent les plateformes russes et chinoises, contrairement à la plupart des plateformes PhaaS qui ciblent les services occidentaux.

La plateforme dispose d’une interface intuitive et son coût est relativement faible en comparaison.
Parmi ses fonctions, citons :

  • Des mécanismes en libre-service pour créer des kits de phishing personnalisés.
  • Gérer les pages de redirection intermédiaires.
  • Pages de leurre.
  • Générer dynamiquement des URL pour les charges utiles malveillantes qui y sont hébergées.
  • Suivez l’activité des e-mails de la campagne.

Mandiant a découvert et testé cette plateforme et l’a qualifiée de dangereuse, étant donné sa facilité d’accès au service en question. Caffeine a été détecté pour la première fois alors qu’il ciblait l’un des clients de Mandiant pour voler les informations d’identification des comptes Microsoft 365.

Les chercheurs de Mandiant ont mis en évidence la possibilité que les fraudeurs adoptent de nouvelles stratégies d’évasion. À la recherche de plateformes automatisées pour étendre leurs opérations, Caffeine est subtilement promu comme une option pour les cybercriminels peu qualifiés.

Pour rappel, quelques règle de base pour éviter/détecter quand nous sommes victimes d’une attaque de phishing :

  • Si vous recevez un mail vous demandant des informations personnelles ou financières, ne répondez pas.
  • Si le message vous invite à accéder à un site web par le biais d’un lien joint, n’entrez pas.
  • Activez l’authentification à deux facteurs (2FA).
  • Soyez vigilant avec les accès à partir de réseaux publics.
  • Ne téléchargez pas et n’ouvrez pas de fichiers provenant de sources non fiables.
  • Maintenez le logiciel de votre appareil à jour et évitez d’utiliser des applications non officielles.
  • Examinez les relevés bancaires et de cartes de crédit dès qu’ils sont reçus et, en cas de détection de transactions non autorisées, contactez immédiatement l’organisme émetteur.

Plus d’information :
https://duo.com/decipher/caffeine-a-readily-accessible-phishing-as-a-service-platform
https://cyware.com/news/phishing-campaigns-made-easy-courtesy-caffeine-7d511f24
https://www.mandiant.com/resources/blog/caffeine-phishing-service-platform

Fièrement propulsé par WordPress & Thème par Anders Norén