Une nouvelle campagne de phishing conçue pour collecter les informations d'identification Cisco WebEx via un avertissement de sécurité pour l'application a été découverte par le Cofense Phishing Defense Center (PDC).
Étonnamment, la propre Secure Email Gateway de Cisco n'a pas réussi à attraper cette nouvelle campagne qui a été lancée à un moment où des millions de personnes travaillent à domicile en utilisant une variété de plateformes et de logiciels en ligne. Les cybercriminels en sont bien conscients et ont commencé à exploiter des marques de confiance comme WebEx pour livrer des e-mails malveillants aux utilisateurs.
Sommaire
Campagne de phishing WebEx
Cette dernière campagne de phishing commence avec des victimes potentielles recevant un e-mail avec des lignes d'objet telles que «Mise à jour critique» ou «Alerte» de l'adresse usurpée «meetings@webex.com». Le corps de l'e-mail explique qu'il existe une vulnérabilité que l'utilisateur doit corriger ou risquer d'autoriser un utilisateur non authentifié à installer un «conteneur Docker avec des privilèges élevés sur le système».
Cela est assez intelligent de la part des pirates, car ils ont usurpé un service commercial légitime et ont même inclus des liens vers une écriture pour une vulnérabilité légitime identifiée comme CVE-2016-9223. Pour rendre leur e-mail plus attrayant, l'article lié utilise le même libellé que l'e-mail.
Les attaquants ont également créé une fausse URL (https://globalpagee-prod-webex.com/signin) qui, à première vue, semble assez similaire à l'URL Cisco WebEx réelle (http://globalpage-prod.webex.com / sigin). Cependant, après une inspection plus approfondie, il est clair que l'URL usurpée contient un "e" supplémentaire et utilise un tiret au lieu d'un point à la fin.
Pour mener à bien cette attaque, les pirates ont enregistré un domaine frauduleux via le registre du domaine public quelques jours avant d'envoyer leur e-mail de phishing. Ils sont même allés jusqu'à obtenir un certificat SSL pour leur domaine frauduleux pour le rendre plus légitime. Encore une fois, il y a cependant une différence, car le certificat Cisco officiel est vérifié par HydrantID tandis que le certificat de l'attaquant passe par Sectigo Limited.
La page de phishing redirige ensuite les utilisateurs vers une fausse page de connexion Cisco WebEx qui est visuellement identique à la réalité. Une fois qu'un utilisateur se connecte, les attaquants disposent alors de leurs identifiants WebEx qui peuvent être vendus sur le dark web ou utilisés pour lancer des attaques supplémentaires contre eux ou leur organisation.
Le travail à domicile a certainement ses avantages, mais les travailleurs à distance doivent rester vigilants pour éviter d'être victimes de cela et des nombreuses autres escroqueries qui font leur chemin sur Internet en ce moment.
