Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Une campagne de phishing se faisant passer pour DHL est conçue pour voler les identifiants des utilisateurs. La chaîne d’attaque utilise une fausse page de mot de passe à usage unique et un portail de connexion de marque, puis exfiltre les données capturées via EmailJS. Après le vol des identifiants, les victimes sont redirigées vers le site légitime de DHL pour réduire les soupçons. L’opération semble cibler les consommateurs du monde entier tout en s’appuyant sur une infrastructure relativement légère.
Enquête
Forcepoint X-Labs a examiné l’e-mail de phishing, les liens malveillants et le JavaScript responsable de la génération d’un mot de passe à usage unique côté client. Leur analyse a montré que le kit de phishing recueillait des détails sur l’appareil et la géolocalisation avant de transmettre les informations collectées à une boîte aux lettres contrôlée par l’attaquant via EmailJS. Les chercheurs ont pu reproduire l’ensemble du flux d’attaque dans un environnement sandbox.
Atténuation
Les organisations devraient bloquer les domaines d’expéditeurs suspects et surveiller les désalignements DKIM qui pourraient indiquer une usurpation d’identité. Les équipes de sécurité doivent également filtrer ou bloquer les URL menant aux domaines malveillants identifiés. La surveillance des activités inattendues d’EmailJS avec des charges utiles inhabituelles peut aider à détecter les tentatives de vol d’identifiants, tandis que l’application de l’AMF sur les comptes liés à DHL ajoute une couche de protection supplémentaire.
Réponse
Les défenseurs doivent informer les utilisateurs ciblés de la campagne de phishing et exiger des réinitialisations de mot de passe pour tous les comptes compromis. L’e-mail malveillant doit être mis en quarantaine et les domaines liés doivent être bloqués aux niveaux de la passerelle e-mail et web. Les règles de détection doivent également être mises à jour pour identifier les modèles d’URL observés et la méthode d’exfiltration basée sur EmailJS.
graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 %% Nodes phishing_email[« <b>Action</b> – <b>T1566 Phishing</b><br/><b>Description</b>: Envoyer des e-mails malveillants qui semblent légitimes afin de piéger les victimes.<br/><b>Sous-technique</b>: Usurpation d’e-mail (T1672) »] class phishing_email action fake_otp_page[« <b>Action</b> – <b>T1656 Usurpation d’identité</b> et <b>T1001.003 Usurpation de protocole</b><br/><b>Description</b>: Héberger une fausse page de mot de passe à usage unique imitant le service cible. »] class fake_otp_page action gather_email[« <b>Technique</b> – <b>T1589 Collecte d’informations d’identité de la victime</b><br/><b>Description</b>: Capturer l’adresse e-mail de la victime depuis la page contrefaite. »] class gather_email technique browser_discovery[« <b>Technique</b> – <b>T1217 Découverte d’informations du navigateur</b> et <b>T1596.005 Recherche dans des bases de données techniques ouvertes</b><br/><b>Description</b>: Énumérer les détails du navigateur, de l’appareil et du système d’exploitation de l’environnement de la victime. »] class browser_discovery technique credential_harvest[« <b>Action</b> – <b>T1056.003 Capture via portail Web</b><br/><b>Description</b>: Rediriger la victime vers un portail Web de collecte d’identifiants. »] class credential_harvest action exfil_emailjs[« <b>Technique</b> – <b>T1114 Collecte d’e-mails</b> et <b>T1102.002 Communication bidirectionnelle via service Web</b><br/><b>Description</b>: Utiliser EmailJS pour exfiltrer les identifiants et les données de session. »] class exfil_emailjs technique legit_redirect[« <b>Action</b> – Rediriger la victime vers le site légitime DHL après l’exfiltration des données. »] class legit_redirect action %% Connections phishing_email –>|leads_to| fake_otp_page fake_otp_page –>|collects| gather_email fake_otp_page –>|collects| browser_discovery gather_email –>|provides| credential_harvest browser_discovery –>|provides| credential_harvest credential_harvest –>|exfiltrates| exfil_emailjs exfil_emailjs –>|final_redirect| legit_redirect
Flux d’attaque
## Exécution de la simulation
Prérequis : La vérification préalable de la télémétrie et de la ligne de base doit avoir réussi.
Justification : Cette section détaille la mise en œuvre précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif de l’attaque et commandes :
L’adversaire, visant à récolter des identifiants DHL, usurpe le
domaine cupelva.com(un sosie connu) et rédige un e-mail avec la ligne d’objet exacte utilisée dans les campagnes récentes. En envoyant cet e-mail via un serveur SMTP externe compromis, le message atteint les boîtes de réception Exchange, produisant des journaux de transport qui correspondent aux critères de la règle. -
Script de test de régression :
# e-mail de phishing simulé – devrait déclencher la règle de détection $smtpServer = "smtp.malicious-host.com" # serveur externe compromis $msg = @{ From = "dhl@cupelva.com" To = "victim@contoso.com" Subject = "CONFIRMATION DU CONNAISSEMENT DHL EXPRESS REQUISE" Body = @" Cher client,
Un connaissement pour votre envoi récent requiert une confirmation. Veuillez cliquer sur le lien ci-dessous pour vérifier vos informations :
https://malicious.example.com/verify
Cordialement, DHL Express « @ SmtpServer = $smtpServer } Send-MailMessage @msg
- **Commandes de nettoyage :**
powershell
# Supprimer l'e-mail de test de la boîte aux lettres de la victime (Exchange PowerShell)
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
Search-Mailbox -Identity "victim@contoso.com" -SearchQuery 'Subject:"CONFIRMATION DU CONNAISSEMENT DHL EXPRESS REQUISE"' -DeleteContent
Disconnect-ExchangeOnline -Confirm:$false## Évaluation de l’évasion et recommandations de durcissement
| Technique d’évasion potentielle | Probabilité | Impact sur la règle | Atténuation |
|---|---|---|---|
| Modifier la ligne d’objet (par ex., ajouter des espaces, changer la casse) | Élevée | La règle manque l’événement | Utiliser des expressions régulières insensibles à la casse et des correspondances floues de mots clés (sujet|contient|regex: "DHLs+EXPRESS.*WAYBILL.*REQUIRED"). |
Utiliser un autre domaine usurpé (par ex., dhl-express.co) |
Élevée | La règle manque l’événement | Incorporer la détection des échecs DKIM/SPF et rechercher des mots clés connus liés à la marque indépendamment du domaine de l’expéditeur. |
| Intégrer un lien malveillant mais garder le sujet inchangé | Moyenne | La règle se déclenche quand même (bon) | Ajouter une vérification de la réputation de l’URL pour augmenter la confiance. |
| Envoyer en pièce jointe (T1192) plutôt que dans le corps | Low | Règle inchangée (le sujet correspond toujours) | Étendre la règle pour inspecter les métadonnées des pièces jointes (noms de fichiers, types MIME). |
Recommandations
- Élargir l’évaluation de l’expéditeur : Au lieu d’un seul domaine codé en dur, signaler tous les e-mails qui échouent à l’alignement SPF/DKIM pour la marque “dhl.com” et qui contiennent des mots clés liés à DHL.
- Correspondance floue du sujet : Remplacer la correspondance exacte de chaînes par une expression régulière qui capture les variations, les différences de casse et les obfuscations courantes.
- Enrichir avec la réputation des URLs : Analyser le corps du message pour détecter les URLs ; signaler si un lien mène à un hôte connu comme malveillant ou utilise des raccourcisseurs d’URL.
- Ajouter des heuristiques de pièce jointe : Lorsque la règle étiquette
attaque.t1192, intégrer des vérifications pour les fichiers à double extension ou les scripts couramment utilisés dans le phishing lié à DHL.
Mettre en œuvre ces étapes de durcissement augmentera le score de résilience vers 4–5, réduisant le risque d’évasion simple tout en maintenant un taux de faux positifs faible.