Tout a commencé par un chuchotement – quelques courriels sans prétention glissés dans les boîtes de réception un mardi matin ordinaire. Pas de sonnerie, pas de sifflet, rien qui puisse faire sourciller à première vue. Mais derrière les logos familiers des services de cloud computing et les notifications méticuleusement élaborées se cachait une campagne de phishing d’un genre nouveau, fruit de l’innovation et alimentée par l’IA. Il ne s’agissait pas d’un phishing ordinaire, mais d’une embuscade basée sur le cloud, une menace directe pour la couche humaine de la sécurité de l’entreprise.
Aryaka Threat Research Labs a découvert une nouvelle vague de campagnes de phishing basées sur le cloud qui exploitent Google Cloud Storage (GCS) pour héberger des redirecteurs frauduleux et des sites de phishing. Ces attaques combinent l’ingénierie sociale et l’utilisation abusive d’une infrastructure cloud légitime, exploitant la confiance inhérente que les utilisateurs accordent aux domaines Google pour réaliser des escroqueries à motivation financière.
La campagne met en évidence la manière dont les acteurs de la menace contournent les défenses des entreprises en exploitant les lacunes dans l’authentification du courrier électronique. En envoyant des messages qui passent les contrôles SPF mais qui n’ont pas de signatures DKIM et qui sont renforcés par des politiques DMARC faibles, les attaquants peuvent envoyer des courriels qui semblent légitimes à la fois aux destinataires et aux systèmes de sécurité du courrier électronique, augmentant ainsi la probabilité d’une compromission réussie.
Comprenons le modèle d’attaque dans son ensemble, tel qu’il est décrit ci-dessous :
- Usurpation d’identité par courriel: Les attaquants envoient des e-mails de phishing en se faisant passer pour des services fiables tels que Gmail ou Google Drive, en utilisant des messages professionnels et des lignes d’objet convaincantes (par exemple, « Avis de résiliation d’abonnement »).
- Redirections hébergées par GCS: Les courriels renvoient à des fichiers HTML hébergés par Google Cloud Storage (GCS) qui exécutent des redirections JavaScript dans le navigateur de la victime, contournant ainsi les scanners statiques et les filtres d’URL.
- Évasion CAPTCHA: La chaîne de redirection comprend des défis CAPTCHA pour éviter l’analyse automatisée et paraître légitime aux yeux des utilisateurs.
- Portails de récompenses frauduleux: Les victimes sont dirigées vers de faux sites de prix ou de primes qui les incitent à s’inscrire ou à déposer de l’argent.
- Collecte de données sur les utilisateurs et les navigateurs: Les attaquants recueillent des métadonnées détaillées sur les utilisateurs et les navigateurs et les envoient à des plateformes d’analyse telles que Mixpanel, Google Analytics et Amplitude afin de suivre le comportement et d’optimiser les campagnes.
- Exploitation d’une infrastructure en nuage fiable: Les acteurs de la menace exploitent des plateformes cloud légitimes pour échapper à la détection, ce qui rend les escroqueries plus difficiles à repérer et plus efficaces à grande échelle.
Cette approche met en évidence une évolution croissante de la cybercriminalité, où les plates-formes légitimes d’informatique en nuage deviennent une partie de la surface d’attaque. Au lieu d’héberger des contenus malveillants sur des domaines suspects, les acteurs de la menace exploitent l’infrastructure de confiance de Google pour contourner les contrôles, ce qui rend ces escroqueries plus difficiles à détecter et plus efficaces à grande échelle.
Aryaka Threat Research Labs a divulgué de manière responsable cet abus à Google Cloud afin de soutenir la remédiation et d’empêcher d’autres utilisations abusives de son infrastructure. Nous avons également travaillé en coordination avec l’équipe de recherche sur les menaces émergentes de Proofpoint pour veiller à ce que les ensembles de règles de détection soient mis à jour afin de couvrir cette activité.
Cet effort de collaboration, qui a été mentionné par Emerging Threats, souligne la force de la communauté de la cybersécurité face à l’évolution des menaces basées sur l’informatique en nuage. Il témoigne de la puissance de la défense collective et de l’importance du partage des informations pour le bien de tous.
Cette recherche renforce une vérité essentielle : la confiance, lorsqu’elle est abusée, devient l’un des plus puissants outils de tromperie à l’ère de l’informatique dématérialisée.
Lisez le rapport complet ici >>.