[INFO] [CYBERCRIMINALITE] Nouvelle technique de phishing : Le « trampoline »

[INFO] [CYBERCRIMINALITE] Nouvelle technique de phishing : Le « trampoline »

Le CERT-XMCO vous propose cette semaine la synthèse de la technique de phishing nommé « trampoline ». Cette méthode a été dévoilée et décrite par les équipes de Kaspersky.

Bulletin CXA-2015-2780
Titre Nouvelle technique de phishing : Le « trampoline »
Titre officiel A Phishing Trampoline – embedding redirects in PDF documents
Criticité Criticite Moyenne
Date 24 Aout 2015
Description

Les pirates du monde entier et les éditeurs de produits de sécurité continuent de jouer au chat et à la souris. Les pirates sont ainsi obligés de modifier leurs techniques d’infection afin de déjouer les systèmes de sécurité installés par les utilisateurs.

Une nouvelle technique dite du « trampoline » consiste ainsi à envoyer un mail contenant une pièce jointe saine (par exemple un fichier PDF) contenant lui même un lien vers un site malveillant.

L’image suivante issue du site « www.securelist.com » est assez caractéristique de l’attaque. Un bouton (lien hypertext) propose de lire le fichier PDF en question. Or, ce lien redirige la victime vers un site contrôlé par les attaquants et hébergeant un nouveau PDF, lui-même malveillant.

Les antivirus qui vont analyser cette pièce jointe ne lèveront aucune alerte puisque le premier fichier reçu est sain.

L’email du pirate parait donc légitime, ce qui met l’utilisateur en confiance. Une fois sortis de son webmail/client mail, les fichiers qu’il télécharge (tels que les PDF vérolés) ne sont plus analysés, ce qui laisse une ouverture à un pirate pour lui faire télécharger un virus.

Cette technique est simple, mais très efficace. Dans tous les cas, il est fortement recommandé de vérifier l’authenticité des emails reçus et de ne jamais cliquer sur les pièces jointes ou les liens fournis dans un email si ceux-ci ne proviennent pas d’une personne connue.

Référence https://securelist.com/blog/phishing/71963/a-phishing-trampoline-embedding-redirects-in-pdf-documents/
Id XMCO CXA-2015-2780
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-2780

Cert-XMCO