Campagnes de phishing via Adobe

0
243

Ce résumé d’attaque réalisé par les chercheurs de Check Point Harmony Email explique comment les pirates se servent d’Adobe InDesign, un outil très prisé pour créer des contenus tels que des dépliants ou des brochures, mais aussi … pour envoyer des documents de phishing.

Tribune par Jeremy Fuchs, chercheur/analyste en cybersécurité pour Check Point Software – Pour exploiter des services légitimes à des fins malveillantes, il suffit aux pirates de s’inscrire à n’importe quel outil SaaS classique. C’est gratuit. Ils utilisent si bien la légitimité et la réputation de ces marques que les services de sécurité et les utilisateurs finaux ne peuvent pratiquement pas les déchiffrer.

Ces nouveaux « services » continuent d’apparaître. Rien qu’au cours du mois dernier, nous avons enregistré des milliers d’attaques de ce type. Dans le cas présent, il s’agit d’Adobe InDesign.

L’attaque

Les hackers créent du contenu dans Adobe InDesign pour envoyer des liens de phishing.

  • Vecteur : E-mail
  • Type : BEC 3.0
  • Techniques : Ingénierie sociale, collecte d’identifiants
  • Cible : Tout utilisateur final

Exemple d’e-mail :

Le message commence par ce qui ressemble à un envoi de facture. La ligne d’objet comporte à la fois un numéro de facture et un numéro de commande.

Mais regardez bien le lien. Indd.adobe.com mène à la version « cloud » d’Adobe InDesign. Sur cette plateforme, tout le monde peut créer toutes sortes de documents, de factures standards à des documents plus complexes. Ce lien, qui n’est ni une facture ni un bon de commande, renvoie à un document malveillant.

Mais comme le lien lui-même est légitime, les scanners de liens ne détecteront aucune anomalie. Et même s’il peut sembler étrange de recevoir un relevé ou une facture via InDesign, Adobe reste une vraie marque. Passer la souris sur le lien ne révélera rien d’inhabituel.

Autre exemple. Une fois de plus, vous constaterez qu’il est envoyé directement d’Adobe (message@adobe.com). C’est un fichier PDF partagé qui renvoie à une page Adobe.

Ce genre d’attaque échappe aux méthodes de cybersécurité classiques. Passer la souris sur l’URL ne sera pas aussi efficace. L’expéditeur est fiable. Ce type d’attaque échappe aux méthodes de cybersécurité classiques.

Méthodes

Lors d’attaques BEC 3.0, tout est dans la rapidité d’exécution. Au lieu de passer des semaines ou des mois à élaborer l’attaque parfaite au moment opportun, les attaques BEC 3.0 s’appuient sur des outils faciles à utiliser qui permettent de créer des documents légitimes dans lesquels sont intégrés des liens ou des messages de phishing.

Ce type d’attaque en profite, car il fait appel à un outil courant et facile à utiliser tel qu’Adobe InDesign. InDesign est un outil extrêmement utilisé pour concevoir des documents tels que des dépliants, des journaux, des brochures etc.

En exploitant ces documents pour générer des pages de phishing destinées à l’utilisateur final, les pirates se simplifient le travail. Le lien est légitime, il passera donc au travers des scanners standards et de l’utilisateur final.

Dans ce cas, il faut émuler l’action derrière le lien pour vraiment comprendre ce qui se passe. Ce n’est pas toujours ce que font les services de sécurité.

Arrêter les attaques, c’est un peu comme jouer au chat et à la souris. Un pirate informatique trouve quelque chose qui marche. Et il va continuer jusqu’à ce que les services de sécurité, tous secteurs confondus, puissent l’arrêter de manière définitive. Ensuite, il changera d’approche et essaiera quelque chose de nouveau. Et ainsi de suite. À l’heure actuelle, la plupart des services de sécurité ont du mal à arrêter les attaques BEC 3.0. En attendant, les pirates continuent de sévir.

Les chercheurs de Check Point ont contacté Adobe pour leur signaler cette campagne le 25 juillet.

Les meilleures pratiques : Conseils et recommandations

Pour se défendre de ces attaques, les professionnels de la sécurité peuvent prendre les mesures suivantes :

  • Instaurer une sécurité qui utilise l’IA pour analyser plusieurs indicateurs de phishing.
  • Appliquer une sécurité complète capable d’analyser documents et fichiers.
  • Mettre en place une protection efficace des URL qui analyse et émule les pages web.