Des campagnes de phishing via la visioconférence. De plus en plus d’attaques depuis fin mars. Objectif : voler des informations d’identification.

Multiplication des attaques de phishing sur Zoom et WebEx. Celles-ci, analyse Proofpoint, ne tirent pas parti ni n’attaquent directement les logiciels de visioconférence. Les acteurs de ces menaces utilisent les noms et les marques de ces sociétés de visioconférence comme thèmes dans leurs leurres d’ingénierie sociale, ce qui entraîne le vol de diverses informations d’identification de compte, la distribution de logiciels malveillants ou la collecte d’informations d’identification pour ces comptes de visioconférence usurpés.

«L’accès à votre compte sera limité»

Les attaques WebEx sont censées provenir d’adresses e-mail d’administrateur qui, à première vue, pourraient être des adresses Cisco légitimes. Elles ont généralement des lignes d’objet telles que «Mise à jour critique», «Alerte !» ou «L’accès à votre compte sera limité».

Les cibles sont informées qu’elles doivent mettre à niveau leurs clients WebEx pour corriger une vulnérabilité de cybersécurité dans la configuration du moteur Docker dans Cisco CloudCenter Orchestrator, une vulnérabilité légitime (CVE-2016-9923) révélée pour la première fois il y a quelques temps, et qui a été corrigée dans un correctif de décembre 2016. S’ils cliquent sur le lien, ils seront redirigés vers un faux site Web qui leur demandera leur nom d’utilisateur et leur mot de passe WebEx.

La campagne portant sur Zoom a pour objets de mail «compte Zoom» et «conférence Zoom manquée». Elle distribue deux types d’e-mails. L’un est censé provenir d’un compte administrateur à l’intérieur duquel un lien invite le destinataire à cliquer pour activer son compte Zoom et le rediriger vers une fausse page webmail afin qu’il saisisse ses identifiants.

Un second type de mail prétexte une réunion zoom manquée comprenant un lien vers une fausse page d’identification Zoom.

«Pourrions-nous faire un appel Zoom ?»

Selon Proofpoint, des chevaux de Troie d’accès à distance (Rats) ServLoader / NetSupport sont distribués. S’ils sont activés, ces exécutables malveillants peuvent accéder aux fichiers et aux informations sur le système de la victime.

Le message identifié remercie la cible d’avoir répondu à une fausse demande de devis (RFQ), comprend une pièce jointe relative à la RFQ et propose un appel Zoom pour en discuter davantage. Les lignes d’objet repérées dans la nature incluent «[Nom de la société] Réunion annulée – Pourrions-nous faire un appel Zoom ?» et “[Entreprise] – Je ne parviendrai pas à [divers États américains] – Pourrions-nous parler de Zoom ?”.