Nouvelle attaque de phishing Zoom exploite Constant Contact pour contourner les SEGs
Table des matières :
L’année difficile de 2020 a vu de nombreuses entreprises accroître leur dépendance à Internet, passant à des effectifs travaillant à domicile. Cette tendance a entraîné une augmentation fulgurante de l’utilisation des applications de visioconférence. Les cybercriminels n’ont pas manqué l’occasion de tirer parti de leurs perspectives malveillantes. Depuis le printemps 2020, ils ont enregistré de nombreux faux domaines pour diffuser des publicités et exécutables malveillants. De plus, le « boom » de la visioconférence a ouvert de larges opportunités pour la cyber-espionnage. Cette tendance continue de prendre de l’ampleur cette année. En janvier 2021, des chercheurs en sécurité ont remarqué encore une autre campagne profitant de l’hameçonnage Zoom.
Nouvel hameçonnage Zoom
Le nouveau leurre tente d’usurper le support de Zoom pour le vol d’identifiants. En particulier, les utilisateurs reçoivent un faux e-mail indiquant qu’un serveur Zoom a été mis à jour, de sorte que tous les clients doivent vérifier leurs comptes pour conserver la possibilité d’inviter ou de rejoindre des appels. Le message offre aux utilisateurs de suivre le lien, qui les redirige vers une fausse page de phishing capable de collecter des identifiants. Tous les e-mails affichent «Zoom – no-reply@zoom(.)us» dans le champ « De », incitant les victimes à croire que l’e-mail provenait réellement de Zoom.
Notamment, les e-mails de phishing ont été envoyés via le service de marketing par e-mail Constant Contact. Les hackers ont compromis un seul compte utilisateur pour diffuser les attaques, probablement dans le but de contourner différents Secure Email Gateways (SEGs). Les chercheurs confirment que cette méthode a réussi puisque des faux e-mails ont été détectés dans au moins cinq environnements SEG.
Détection des attaques Zoom
L’équipe de SOC Prime surveille de près les attaques Zoom pour offrir des détections éclairs et garantir une défense proactive contre ces menaces. Auparavant, nous avons publié un guide pratique pour les utilisateurs sur le renforcement du service Zoom. Aussi, vous pouvez télécharger près d’une vingtaine de règles depuis le Threat Detection Marketplace pour renforcer votre défense contre les mauvais domaines Zoom, les faux installateurs et les invitations frauduleuses.
Une règle communautaire dédiée pour la dernière campagne de phishing est également déjà disponible sur le Threat Detection Marketplace grâce à Osman Demir, l’un des développeurs Threat Bounty les plus prolifiques :
https://tdm.socprime.com/tdm/info/p8hnRPj8Vy7p/4dXzYncBmo5uvpkju4Ha/#rule-context
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR : Carbon Black
MITRE ATT&CK :
Tactiques : Accès Initial
Techniques : Lien de phishing ciblé (T1566)
Vous cherchez le meilleur contenu SOC pour améliorer vos capacités à lutter contre les menaces cybernétiques émergentes de manière dynamique ? Obtenez un abonnement gratuit au Threat Detection Marketplace et réduisez le temps moyen de détection des cyberattaques avec notre bibliothèque de contenu SOC de plus de 90 000 éléments. Vous voulez créer vos propres règles Sigma et améliorer vos initiatives de chasse aux menaces ? Rejoignez notre programme Threat Bounty pour partager vos idées avec la communauté SOC Prime !