ClickCease Campagnes d'hameçonnage utilisant des en-têtes HTTP pour le vol de données d'identification - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Les en-têtes HTTP utilisés dans les campagnes d'hameçonnage pour le vol de données d'identification  

par Wajahat Raja

Le 24 septembre 2024 - L'équipe d'experts de TuxCare

Avec les progrès rapides de la technologie, les méthodes d'attaque des acteurs de la menace évoluent désormais à un rythme sans précédent. Les experts en cybersécurité ont récemment mis en garde contre les campagnes d'hameçonnage en ligne à l'aide d'en-têtes HTTP. campagnes d'hameçonnage d'en-têtes HTTP lancées pour voler des informations d'identification. Dans cet article, nous allons examiner en détail ces attaques de collecte d'informations d'identification et découvrir les outils utilisés. C'est parti !

Détails des campagnes d'hameçonnage Campagnes d'hameçonnage des en-têtes HTTP

Selon les récents rapports des médiasces campagnes d'hameçonnage campagnes d'hameçonnage par en-têtes HTTP s'appuient sur l'utilisation d'entrées de rafraîchissement pour délivrer des pages de connexion usurpées. Ces pages de connexion sont conçues par des acteurs de la menace et facilitent l'acquisition non autorisée des informations d'identification de l'utilisateur.

Des experts en cybersécurité, dont les chercheurs Yu Zhang, Zeyu You et Wei Wang de l'unité 42 de Palo Alto Networks, ont fourni des informations sur ces attaques. Les experts estiment que :

"Contrairement à d'autres comportements de distribution de pages web d'hameçonnage par le biais du contenu HTML, ces attaques utilisent l'en-tête de réponse envoyé par un serveur, qui se produit avant le traitement du contenu HTML. Les liens malveillants incitent le navigateur à rafraîchir ou à recharger automatiquement et immédiatement une page web, sans que l'utilisateur n'ait à intervenir".

Cibles des attaques de collecte de données d'identification (Credential Harvesting)

Ces campagnes d'hameçonnage d'en-têtes HTTP ont été observées en mai et juillet 2024. Les acteurs de la menace à l'origine de ces attaques ont principalement ciblé des entreprises en Corée du Sud ainsi que des agences gouvernementales et des écoles aux États-Unis. Une répartition plus détaillée des secteurs ciblés est présentée ci-dessous :

Secteur  Pourcentage 
Entreprises et économie 36%
Services financiers  12.9%
Gouvernement  6.9%
Santé et médecine  5.7%
Ordinateurs et Internet  5.4%

 

Technique d'attaque par hameçonnage de l'en-tête HTTP 

La méthode d'attaque utilisée dans ces campagnes de phishing campagnes d'hameçonnage d'en-têtes HTTP est considérée comme l'une des plus récentes parmi les nombreuses autres utilisées par les acteurs de la menace. Cette technique les aide à masquer leurs intentions, ce qui leur permet de tromper les victimes pour obtenir leurs identifiants de connexion.

En outre, cette attaque par hameçonnage s'inscrit également dans la tendance des domaines de premier niveau (TLD) utilisés pour les attaques d'hameçonnage. La chaîne d'infection de ces attaques commence par la diffusion de liens malveillants via des URL de rafraîchissement d'en-tête. Il convient de préciser que ces liens contiennent les adresses électroniques des victimes ciblées.

Les acteurs de la menace envoient des messages électroniques qui renvoient à un domaine compromis qui semble légitime. Lorsque les victimes ciblées cliquent sur le lien malveillant, elles sont redirigées vers une page contrôlée par les pirates et utilisée pour la collecte d'informations d'identification. Les Campagnes d'hameçonnage par en-têtes HTTP Les acteurs de la menace s'efforcent également d'ajouter des couches de légitimité à la page malveillante.

Cette légitimité est ajoutée à l'aide de différentes méthodes, comme le fait de pré-remplir l'adresse électronique de la victime sur la page. En outre, ils peuvent également utiliser des domaines légitimes qui proposent des raccourcissements d'URL ou des techniques de suivi. Des experts en cybersécurité ont commenté l'avancée de ces tactiques en ces termes :  

"Ces tactiques mettent en évidence les stratégies sophistiquées utilisées par les attaquants pour éviter d'être détectés et exploiter des cibles qui ne se doutent de rien.

Conclusion

Ces campagnes d'hameçonnage d'en-têtes HTTP illustrent l'évolution des tactiques utilisées par les cybercriminels pour voler des informations d'identification. En utilisant des techniques avancées telles que le rafraîchissement des en-têtes et des domaines d'apparence légitime, les attaquants trompent efficacement les utilisateurs. Il est essentiel que les organisations et les particuliers restent vigilants et adoptent des de solides mesures de cybersécurité pour éviter d'être victimes de ces menaces.

Les sources de cet article comprennent des articles dans The Hacker News et Unité 42.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !