Un service Glitch abusé pour héberger des sites de phishing éphémères

glitch

Les acteurs de l’hameçonnage abusent désormais activement de la plate-forme Glitch pour héberger gratuitement des URL de courte durée de vol d’informations d’identification tout en évitant la détection et les retraits.

Les campagnes récentes ciblent les employés des grandes entreprises qui travaillent avec le Moyen-Orient.

D’après une analyse de l’équipe de recherche de DomainTools, cette campagne de phishing a débuté en juillet 2021 et est toujours en cours.

PDF « nettoyés » qui échappent à la détection

Les acteurs envoient des e-mails avec des pièces jointes de documents PDF qui ne contiennent aucun code malveillant, donc aucune alerte antivirus n’est générée.

Au lieu de cela, ces PDF contiennent un lien qui dirige l’utilisateur vers une page hébergée chez Glitch, qui afficherait une page de destination.

Un exemple d’URL intégrée dans ces documents PDF est illustré ci-dessous :

https://spot-truthful-patio[.]glitch.me/red.htm#%20test@test.com

DomainTools a obtenu 70 PDF de ce type et a découvert qu’ils utilisaient tous un e-mail et une URL uniques pour créer un lien vers diverses pages « red.htm » hébergées par Glitch.

Liste des sites vers lesquels pointent les PDF
Liste des sites vers lesquels pointent les PDF
Source : DomainTools

Abus de Glitch

Glitch est un service d’hébergement cloud qui permet aux utilisateurs de déployer des applications et des sites Web à l’aide de Node.js, React et d’autres plates-formes de développement.

Cette plate-forme est attrayante pour les attaques de phishing car elle propose une version gratuite qui permet aux utilisateurs de créer une application/page et de la maintenir en ligne sur le Web pendant cinq minutes. Après cela, l’utilisateur doit le réactiver manuellement.

Étant donné que Glitch est une plate-forme généralement digne de confiance, les outils de sécurité réseau traitent ses domaines de manière favorable, sans envoyer d’avertissements lors de la visite du site.

Cette vue favorable des plates-formes de sécurité, combinée aux URL de courte durée et au fait que les acteurs malveillants peuvent les héberger gratuitement, fait de Glitch une excellente cible pour les abus des acteurs du phishing.

En creusant plus profondément, DomainTools a trouvé un site Glitch en direct lié à un service commercial de bac à sable de logiciels malveillants contenant une capture d’écran d’une page de connexion de phishing Microsoft SharePoint.

Page d'hameçonnage SharePoint
Page d’hameçonnage SharePoint
Source : DomainTools

Le document PDF qui y menait avait été soumis à VirusTotal afin que les chercheurs puissent lier l’échantillon à plusieurs documents HTML.

Après avoir extrait ces pages, les chercheurs ont trouvé des morceaux de JavaScript obscurcis utilisés pour exfiltrer les informations d’identification vers une adresse e-mail après les avoir transmis à travers des sites WordPress compromis.

Le désobscurcissement a révélé une adresse e-mail Outlook qui a reçu les informations d’identification volées, ce qui a conduit à la découverte d’un ensemble de fichiers PDF supplémentaires créés en septembre 2021.

Le code JavaScript utilisé pour la redirection d'URL
Le code JavaScript utilisé pour la redirection d’URL
Source : DomainTools

Les acteurs de la menace ont hébergé ces documents sur divers services similaires à Glitch, tels que Heroku, ou via des réseaux de distribution de contenu comme SelCDN.

Cela signifie que Glitch n’était que l’un des nombreux canaux dont les acteurs de phishing ont abusé pour échapper à la détection et voler des informations d’identification.

DomainTools a contacté Glitch pour l’informer de ses découvertes, mais n’a pas encore reçu de réponse.