Tout au long de 2022, les acteurs de la menace se sont fait passer pour le service postal Singapore Post (SingPost) et l’une des principales sociétés de télécommunications de Singapour, Singtel. Les victimes sont ciblées par des e-mails de phishing qui semblent provenir de Singapore Post ou de Singtel.
Dans ces e-mails, les utilisateurs recevaient des messages les informant de faux problèmes de facturation ou de paiements en souffrance avec des liens vers des sites Web frauduleux demandant leurs informations personnelles. Selon The Straits Times, en novembre 2022, au moins 85 personnes avaient perdu environ 237 000 dollars à cause de ces escroqueries.
Bien que ces escroqueries aient été largement rapportées par plusieurs médias, dont The Independent, les acteurs de la menace et leurs méthodes n’ont pas été examinés en public. Dans ce blog, je décomposerai mes découvertes et les moyens de vous protéger ou de protéger votre entreprise contre les attaques de phishing.
Répartition des campagnes de phishing de Singapore Post
La plupart des campagnes de phishing imitant Singapore Post utilisent des domaines de phishing dédiés. En enquêtant sur les domaines nouvellement enregistrés qui incluent des mots ciblés tels que « singapour », « singpost » ou « sgp », j’ai pu identifier l’infrastructure et d’autres domaines de phishing. Dans le cadre de ce pivot, j’ai également trouvé des mots génériques, tels que « mise à jour », « suivi » et « post », également utilisés dans d’autres domaines.
Voici une ventilation des campagnes de phishing ciblant Singapore Post.
Première campagne : livraison de faux colis
La première campagne est apparue vers la mi-octobre et est hébergée sur le FAI singapourien Nexus Bytes à l’adresse IP 139.64.239(.)108. De nouveaux domaines, qui utilisent tous des mots orthographiés de la même manière que « singpost », ont été ajoutés régulièrement depuis lors.
Pour cette campagne, les utilisateurs rencontreront une page de destination indiquant qu’une livraison de colis a été suspendue. Il leur sera ensuite demandé d’entrer leur nom, leur adresse complète et leur numéro de téléphone. Lors de la soumission, la victime est redirigée vers une deuxième page qui lui demande de partager les détails de sa carte de crédit.
Un aspect intéressant de ce site de phishing particulier est que tout le code de collecte d’informations est intégré dans Javascript, où j’ai trouvé une variable nommée « webpackChunkaupost ». Je soupçonne que le kit de phishing peut également cibler Australia Post. WebpackChunk fait référence à une fonction de fractionnement de code dans le nodeJS Library Webpack ; aupost serait Australia Post. Ce comportement multi-cible est observé chez certains acteurs de la menace de phishing qui cibleraient simultanément d’autres services postaux nationaux tels que le service postal des États-Unis (USPS) et la poste australienne.
Indicateurs de compromis (IOC) :
singpost-vip(.)shop
singpot-mem(.)net
singpost-vip(.)com
singpost-info(.)boutique
singpost-member(.)com
singpoost(.)com
Deuxième campagne : capacités d’anti-analyse
La deuxième campagne ciblant Singapore Post peut être trouvée sur IP 109.206.241(.)143, hébergée par Delis LLC, basée aux États-Unis. Les sites de phishing sont hébergés à cette adresse IP depuis août 2022, et de nouveaux sont encore ajoutés à partir de novembre 2022. Au total, plus de 120 domaines de phishing ont été hébergés à cette adresse, et sur la base des données collectées, Australia Post est également ciblé par cet acteur de menace particulier.
Un aspect intéressant de cette campagne est la technique d’anti-analyse utilisée. Chaque lien de phishing a la forme %phishing_domain%/e/authID=%random_letters%/, avec les lettres aléatoires spécifiques à chaque site de phishing. Un message d’erreur est renvoyé par le site de phishing sans un authID valide, empêchant l’analyse des sites de phishing même s’ils sont trouvés à moins qu’un lien valide ne soit disponible.
Exemples d’IOC :
sgpt-mise à jour(.)cc
mises à jour(.)à
post-japon(.)net
mise à jour-id8154(.)com
auspost-au(.)net
mise à jour(.)cc
auspost-tracking(.)cc
trackpost(.)moi
nouveau-suivi(.)com
ID de suivi9175(.)un
mise à jour simple (.) net
singpt-info(.)cc
singpt-update(.)com
Troisième campagne : Imiter SingPost et les banques allemandes
La troisième campagne réside sur un seul site de phishing ciblant la poste de Singapour, la banque allemande DKB et la banque postale allemande. Le but du site est d’inciter les victimes à entrer leurs informations de carte de crédit.
La page de destination initiale demande des frais de livraison. Mais lorsque l’utilisateur entre ses informations de carte de crédit, une brève animation de chargement est suivie d’une page demandant un mot de passe à usage unique (OTP). Puisqu’un numéro de téléphone n’a jamais été saisi, la victime n’aura pas reçu de message SMS et toute valeur soumise à la zone de code OTP renverra une erreur de code incorrect.
Une caractéristique intéressante de cette campagne est qu’ils ont un site vers lequel les domaines nouvellement enregistrés sont redirigés. Ceci est différent de ce que nous trouvons habituellement, qui est la mise en place de sites de phishing individuels indépendants les uns des autres. Tous les sites de redirection vus sont hébergés sur 172.106.177(.)48 dans un centre de données Linode LLC en Australie.
Il est impossible de savoir exactement pourquoi les acteurs de la menace ont structuré la campagne de cette façon. Je suppose qu’ils comptent sur le fait que le site de destination est une ressource Web partagée sur un service d’hébergement, il est donc peu probable qu’il soit bloqué par des systèmes automatisés. Actuellement, seule une fraction des systèmes anti-phishing classent ce site de phishing comme malveillant même s’il est en ligne depuis un certain temps. Les domaines nouvellement enregistrés contournent tous les analyseurs ou filtres qui auraient pu bloquer les anciens domaines.
Les domaines redirigeant vers le site de phishing agissent comme un filtre. Seules les requêtes « authentiques », c’est-à-dire les requêtes contenant l’URL correcte du site de phishing, seront dirigées vers une URL malveillante. Toutes les autres demandes sont redirigées vers un domaine légitime tel que Google ou un site bancaire. Ceci est probablement destiné à ralentir la découverte et l’analyse de la campagne.
Exemples d’IOC :
singpost-sg(.)xyz (redirecteur)
singpost-sg(.)online (redirecteur)
next-pay(.)online (redirecteur)
next-pay(.)xyz (redirecteur)
site next-pay(.) (redirecteur)
singpost-sg(.)site (redirecteur)
postbank.de.ihre-de(.)com (redirecteur)
sxb1plvwcpnl497368.prod.sxb1.secureserver(.)net (site de phishing)
Campagnes de phishing Singtel : prise de contrôle de domaines WordPress compromis
Contrairement aux sites de phishing Singapore Post qui utilisent des domaines nouvellement enregistrés, les campagnes de phishing Singtel actuellement actives utilisent des domaines WordPress compromis. Semblable aux vrais sites Web de Singtel, la fausse page de connexion comporte des onglets pour OnePass, le système de connexion de l’entreprise pour les clients, et Singpass, son application mobile. Cependant, le faux site prétend qu’il ne peut pas générer un code QR approprié, la méthode la plus rapide par laquelle les clients peuvent se connecter. Au lieu de cela, un message d’erreur s’affiche, invitant l’utilisateur à utiliser « d’autres méthodes » pour se connecter, en particulier une page de connexion s’affiche. Lorsque les utilisateurs saisissent leurs identifiants de connexion, une deuxième page leur est présentée leur demandant leurs informations de carte de crédit ou de débit. Une fois les informations de la carte soumises, une boîte de dialogue non fonctionnelle pour la vérification par SMS apparaît, même en cas de connexion avec une adresse e-mail.
Restez vigilant face aux menaces de phishing
L’hameçonnage est l’une des cyberattaques les plus courantes et les plus efficaces déployées par les escrocs. Principalement parce que c’est bon marché à créer. Tout attaquant peut acheter des kits prêts à l’emploi sur le Dark Web. Même si seul un petit pourcentage d’utilisateurs tombe dans l’escroquerie, une campagne peut générer des bénéfices importants pour l’attaquant.
Les sites de phishing peuvent sembler légitimes, mais les utilisateurs doivent être vigilants pour éviter de se faire voler leurs identifiants. Ni Singapore Post ni Singtel ne vous demanderont jamais des informations de carte de crédit ou bancaires par e-mail. Vous devriez toujours visiter le site officiel d’un fournisseur avant de vous connecter plutôt que de cliquer sur des liens provenant de sources moins fiables telles que les e-mails et les SMS.
Pour en savoir plus sur la façon de vous protéger contre les escroqueries par hameçonnage, visitez la page Lookout sur l’hameçonnage.
*** Ceci est un blog syndiqué du Security Bloggers Network de Lookout Blogs rédigé par Lookout Blogs. Lisez le message d’origine sur : https://resources2.lookout.com/blog/singapore-post-singtel-phishing
[ad_3]