Si les hackers utilisent des services bien connus dans le Cloud pour télécharger des logiciels malveillants, ils font la même chose pour leurs pages de phishing selon ce spécialiste en cybersécurité, s’appuyant sur Google Cloud ou Azure. Démonstration.
« Les domaines suspects ou les sites web sans certificat HTTPS sont des signes avant-coureurs qu’il faut généralement rechercher lors d’une attaque de phishing. Toutefois, en utilisant des services de Cloud public bien connus tels que Google Cloud ou Microsoft Azure pour héberger leurs pages de phishing, les pirates peuvent surmonter cet obstacle et dissimuler leurs intentions malveillantes, améliorant ainsi leurs chances de piéger même les victimes les plus averties« , prévient Check Point qui a enquêté sur le sujet.
Une page de phishing hébergée dans le Cloud de Google
Le spécialiste prend l’exemple d’une attaque de phishing qu’il a découverte en janvier. L’attaque a commencé avec un document PDF accessibles sur Google Drive, qui comprenait un lien vers une page de phishing. La page de phishing, hébergée sur storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html, demandait à l’utilisateur de se connecter avec son adresse email Office 365 ou celle de son entreprise. En choisissant l’une des options, une fenêtre avec la page de connexion Outlook apparaît. Après avoir saisi ses identifiants, l’utilisateur est redirigé vers un véritable rapport PDF publié par un cabinet de conseil mondial de renom. « Pendant toutes ces étapes, l’utilisateur ne se doute de rien puisque la page de phishing est hébergée sur le stockage dans le Cloud de Google. Cependant, le code source de la page de phishing révèle que la plupart des ressources sont chargées à partir d’un site web qui appartient aux pirates, prvtsmtp[.]com« , indique le spécialiste. Voir ci-dessous.
L’utilisation de Google Cloud Functions
Lors de récentes attaques, même un utilisateur avisé aurait pu ne rien soupçonner, car les pirates ont commencé à utiliser Google Cloud Functions, un service qui permet l’exécution de code dans le Cloud. Dans ce cas, les ressources de la page de phishing ont été chargées à partir d’une instance Google Cloud Functions sans exposer les propres domaines malveillants des pirates.
L’enquête menée sur prvtsmtp[.]com a montré qu’il s’agissait d’une adresse IP ukrainienne (31.28.168[.]4). De nombreux autres domaines liés à cette attaque de phishing ont été résolus sur la même adresse IP, ou à des adresses différentes sur le même bloc réseau. « Cela nous a fourni un aperçu de l’activité malveillante des pirates au fil des ans, et nous a permis de voir comment ils ont développé leurs campagnes et introduit de nouvelles techniques. Par exemple, nous avons noté qu’en 2018, les pirates hébergeaient directement les pages de phishing sur des sites web malveillants. Plus tard, avant de passer à Google Cloud Storage, ils ont utilisé Azure Storage pour héberger des pages de phishing. »
