Une nouvelle campagne de phishing se faisant passer pour le Département du travail des États-Unis demande aux destinataires de soumettre des offres pour voler des informations d’identification Office 365.
La campagne de phishing dure depuis au moins deux mois et utilise plus de dix sites de phishing différents se faisant passer pour l’agence gouvernementale.
Adresses usurpées et abus de serveur
Dans un nouveau rapport d’une société de sécurité de messagerie ENCRE, qui a partagé le rapport avec EZpublish-france.fr avant sa publication, les chercheurs ont illustré comment l’attaque de phishing est utilisée pour voler des informations d’identification.
Les e-mails sont envoyés à partir de domaines usurpés qui semblent provenir du site réel du ministère du Travail (DoL), tandis que certains sont basés sur un ensemble de domaines similaires nouvellement créés tels que :
- dol-gov[.]com
- dol-gov[.]nous
- enchères-dolgov[.]nous
La plupart des e-mails passent par des serveurs abusés appartenant à des organisations à but non lucratif pour échapper aux blocages de sécurité des e-mails.
Source : INKY
Dans d’autres cas, ils sont envoyés via des domaines nouvellement enregistrés et non signalés qui ne figurent pas encore sur les listes anti-hameçonnage.
L’expéditeur se fait passer pour un cadre supérieur du DoL qui invite le destinataire à soumettre son offre pour un projet gouvernemental en cours.
Source : INKY
Les e-mails contiennent un en-tête valide, un contenu organisé par des professionnels et une pièce jointe PDF de trois pages d’une forme apparemment légitime.
Source : INKY
Le PDF contient un bouton « BID », qui, s’il est cliqué, emmène la victime sur l’un des sites de phishing. INKY a confirmé les pages de destination suivantes dans le cadre de cette campagne :
- opendolbid[.]nous
- usdol-gov[.]com
- offre-dolgov[.]nous
- nous-dolbids[.]nous
- dol-enchères[.]nous
- openbids-dolgov[.]nous
- open-biddolgov[.]nous
- openbids-dolgov[.]com
- usdol-gov[.]nous
- dolbides[.]com
- openbid-dolgov[.]nous
- dol[.]global
Le site usurpé semble convaincant, contenant du code HTML et CSS identique au vrai. Les acteurs de la menace ont même inclus un message contextuel d’instructions pour diriger les victimes tout au long du processus d’appel d’offres (hameçonnage).
Source : INKY
Ceux qui soumissionnent pour un projet seront redirigés vers un formulaire de collecte d’informations d’identification qui cible leur adresse e-mail et leur mot de passe Microsoft Office 365.
Source : INKY
Peu importe ce qui y est saisi, le site Web renvoie une fausse erreur pour inciter la victime à les saisir à nouveau, réduisant ainsi les risques de voler des informations d’identification mal saisies.
Si la victime tombe dans le piège une deuxième fois, elle est finalement redirigée vers le site du DoL, avec peu de preuves de ce qui s’est exactement passé.
Des campagnes similaires en hausse
Le niveau de sophistication et de diligence de cette campagne dans la création de pages Web convaincantes et la rédaction d’e-mails de phishing sans erreur est inquiétant.
Nous avons vu quelque chose de similaire en décembre 2021, avec des acteurs de phishing se faisant passer pour Pfizer et utilisant des pièces jointes PDF bien conçues pour inviter les destinataires à soumettre des offres à la société pharmaceutique.
Dans ce cas, les acteurs vont encore plus loin en abusant des serveurs de messagerie légitimes pour envoyer leurs leurres de phishing.
Malheureusement, tout ce qui laisse aux destinataires des e-mails une preuve très subtile de la supercherie qui les cible, une vigilance extrême est donc recommandée.
Dans ce cas, le signe le plus évident de l’arnaque serait que le ministère du Travail oblige quiconque à se connecter avec les informations d’identification Office 365 pour afficher un document, ce qui n’est le cas sur aucun site Web du gouvernement américain.