Comment les cybercriminels s’appuient sur des codes QR, des CAPTCHA et de la stéganographie pour leur attaque de phishing en plusieurs étapes

L’analyse d’un code QR avec un lien malveillant intégré dans un environnement sécurisé est facile avec ANY.RUN.

CAPTCHA est une solution de sécurité utilisée sur les sites web pour empêcher les robots de créer de faux comptes ou d’envoyer des spams. Les pirates ont réussi à exploiter cet outil à leur avantage.

Les pirates utilisent de plus en plus les CAPTCHA pour masquer les formulaires de collecte d’informations d’identification sur les faux sites web. En générant des centaines de noms de domaine à l’aide d’un algorithme de génération de domaines aléatoires (RDGA) et en mettant en œuvre les CAPTCHA de CloudFlare, ils peuvent cacher efficacement ces formulaires aux systèmes de sécurité automatisés, tels que les robots d’indexation, qui sont incapables de contourner les CAPTCHA.

Une fois que la victime a saisi ses identifiants de connexion, elle est redirigée vers un site web légitime, tandis que les attaquants exfiltrent les identifiants vers leur serveur de commande et de contrôle.

La stéganographie est la pratique qui consiste à cacher des données dans différents médias, tels que des images, des vidéos ou d’autres fichiers.

Une attaque de phishing typique qui utilise la stéganographie commence par un courrier électronique soigneusement conçu pour paraître légitime. Ce courriel contient une pièce jointe, souvent un document Word, accompagnée d’un lien vers une plateforme de partage de fichiers telle que Dropbox. Dans l’exemple ci-dessous, vous pouvez voir un faux courriel provenant d’une organisation gouvernementale colombienne.

L’utilisateur peu méfiant qui clique sur le lien à l’intérieur du document télécharge une archive contenant un fichier script VBS qui, une fois exécuté, récupère un fichier image qui semble inoffensif mais qui contient en fait un code malveillant caché ; une fois exécuté, il infecte le système de la victime.