Les cybercriminels s’attaquent au Cloud d’Amazon Web Services (AWS) et Microsoft Azure

1
113

Les chercheurs de Proofpoint ont détecté une nouvelle campagne de phishing fin juillet, toujours active aujourd’hui. Cette attaque usurpe la marque Docusign en copiant le formatage des e-mails pour cibler des individus spécifiques au sein d’entreprises.

Tribune Proofpoint – Les pages d’atterrissage de la campagne sont hébergées chez Amazon Public Cloud Storage (S3). Bien qu’étant une pratique relativement rare, Proofpoint s’est également documenté sur les cybercriminels utilisant d’autres infrastructures de cloud public de grandes entreprises à de telles fins, y compris l’abus récent du service GitHub de Microsoft et un système de phishing d’authentification exploitant le stockage blob Microsoft Azure.

Les cybercriminels, et plus récemment les spécialistes du phishing, ont pu échapper à la surveillance en utilisant des Cloud publics destinés aux internautes, des réseaux sociaux et des services commerciaux connus et fiables pour héberger des kits de phishing malveillants.

Certains acteurs sont maintenant passés de l’utilisation du stockage en Cloud grand public comme Google Drive et Dropbox à des fournisseurs de stockage Cloud public pour les entreprises comme Amazon Web Services (AWS) et Microsoft Azure, et continuent d’utiliser diverses techniques d’encodage dans leur page Web de destination via JavaScript afin d’éviter la détection.

Alors qu’Amazon lui-même semble réactif et particulièrement vigilant dans la suppression des comptes abusifs hébergeant ce type de matériel, les défenseurs doivent être conscients des contenus potentiellement malveillants sur les pages Web hébergées via le stockage Cloud AWS S3.

Chris Dawson, Threat Intelligence Lead chez Proofpoint ajoute :

« Chaque jour, les cybercriminels utilisent le “bien pour faire le mal” – ils tirent parti d’une infrastructure légitime pour distribuer des logiciels malveillants, héberger des modèles de phishing, envoyer desspams, etc. Bien que l’utilisation d’Amazon Web Services ait été relativement rare jusqu’à présent, il s’agit d’un exemple de plus montrant comment les cybercriminels réussissent tout en échappant à la surveillance. Combinée aux techniques sophistiquées détectées, l’utilisation des services Cloud publics aide les cybercriminels à voler sous le radar d’une variété de détection et d’atténuation, soulignant l’importance des défenses à plusieurs volets et du partage de renseignements sur la menace entre les défenseurs, les chercheurs et les fournisseurs de services »

1 COMMENTAIRE

  1. Donc les attaquants utilisent AWS et Azure pour héberger leurs pages de phishing, mais n’attaquent pas ces dernières, comme le titre le suggère explicitement…

Les commentaires sont fermés.