Des cybercriminels parlant chinois lancent une vaste campagne d’hameçonnage par iMessage aux États-Unis : est-ce grave ?

« Les acteurs chinois à l’origine de cette campagne utilisent un texte frauduleux de suivi de colis envoyé par iMessage pour collecter des informations d’identification personnelle (PII) et des justificatifs de paiement auprès des victimes, dans le but de favoriser l’usurpation d’identité et la fraude à la carte de crédit », a déclaré Resecurity dans une analyse publiée la semaine dernière.

Le groupe de cybercriminels, surnommé Smishing Triad, serait également actif dans le domaine de la « fraude en tant que service », offrant à d’autres acteurs des kits de smishing prêts à l’emploi via Telegram, au prix de 200 dollars par mois.

Ces kits usurpent l’identité de services postaux et de livraison populaires aux États-Unis, au Royaume-Uni, en Pologne, en Suède, en Italie, en Indonésie, en Malaisie, au Japon et dans d’autres pays.

L’un des aspects les plus remarquables de cette activité est l’utilisation de comptes Apple iCloud piratés comme vecteur de livraison pour envoyer des messages d’échec de livraison de colis, incitant les destinataires à cliquer sur un lien pour reprogrammer la livraison et à saisir les informations relatives à leur carte de crédit dans un faux formulaire.

L’analyse du kit d’hameçonnage par Resecurity a révélé une vulnérabilité d’injection SQL qui a permis de récupérer plus de 108 044 enregistrements de données de victimes.

Compte tenu de la vulnérabilité identifiée ou de la porte dérobée potentielle, il est possible que les principaux membres de la « Triade du smishing » aient organisé un canal secret pour collecter des résultats avec des données personnelles et de paiement interceptées auprès d’autres membres et clients utilisant leur kit », a déclaré l’entreprise.

« Ce type de savoir-faire est largement utilisé par les cybercriminels dans les voleurs de mots de passe et les kits d’hameçonnage, ce qui leur permet de tirer profit des activités de leurs clients, ou du moins de surveiller leur activité de manière transparente en se connectant simplement à un panneau d’administration. »

Le groupe Telegram associé à Smishing Triad comprend des graphistes, des développeurs web et des commerciaux, qui supervisent le développement de kits de phishing de haute qualité ainsi que leur commercialisation sur les forums de cybercriminalité du dark web. Plusieurs membres du groupe parlant le vietnamien ont été observés en train de collaborer avec les principaux acteurs de la menace dans le cadre de ces efforts, ces derniers collaborant également avec des groupes similaires motivés financièrement pour étendre leurs opérations. Smishing Triad est également connu pour se livrer à des attaques de type Magecart qui infectent les plateformes d’achat en ligne avec des injections de codes malveillants afin d’intercepter les données des clients.

« Le smishing reste un vecteur d’attaque qui évolue rapidement et qui cible les consommateurs du monde entier », a déclaré Resecurity. « Les tactiques, techniques et procédures du groupe de menace combinent deux méthodes bien établies : l’ingénierie sociale et le déploiement d’un kit d’hameçonnage par iMessage. Comme les utilisateurs ont tendance à faire davantage confiance aux canaux de communication SMS et iMessage qu’au courrier électronique, cette attaque a réussi à compromettre de nombreuses victimes.