Une attaque de phishing utilise des URI Blob pour afficher de fausses pages de connexion dans votre navigateur

Cofense Intelligence révèle une nouvelle technique de phishing utilisant des URI blob pour créer de fausses pages de connexion locales, contournant la sécurité des e-mails et volant des informations d'identification.

Des chercheurs en cybersécurité de Cofense Intelligence ont découvert une nouvelle méthode, de plus en plus efficace, utilisée par les cybercriminels pour diffuser des pages de phishing d'identifiants directement dans les boîtes de réception des utilisateurs. Cette technique, apparue mi-2022, exploite les « URI blob » (objets binaires volumineux – Uniform Resource Identifiers).

Pour information, les URI Blob sont des adresses qui pointent vers des données temporaires enregistrées par votre navigateur Internet sur votre ordinateur. Leurs applications sur Internet sont légitimes, comme la façon dont YouTube stocke temporairement des données vidéo dans le navigateur d'un utilisateur pour la lecture.

Une caractéristique clé des URI blob est leur localisation ; autrement dit, un URI blob créé par un navigateur est inaccessible à un autre, même sur le même appareil. Cette fonctionnalité de confidentialité intrinsèque, bien que bénéfique pour les fonctions web légitimes, a été instrumentalisée par des acteurs malveillants à des fins malveillantes.

Selon l'analyse de Cofense Intelligence, partagée avec Hackread.com, étant donné que les données URI Blob ne sont pas sur Internet ordinaire, les systèmes de sécurité qui vérifient les e-mails ne peuvent pas facilement voir les fausses pages de connexion nuisibles.

Par conséquent, lorsque vous recevez un e-mail d'hameçonnage, le lien ne vous redirige pas directement vers un faux site web. Il vous redirige souvent vers un site web authentique auquel les programmes de sécurité font confiance, comme OneDrive de Microsoft. De là, vous êtes redirigé vers une page web cachée contrôlée par l'attaquant.

Cette page cachée utilise ensuite un URI blob pour créer une fausse page de connexion directement dans votre navigateur. Même si cette page est uniquement enregistrée sur votre ordinateur, elle peut voler votre nom d'utilisateur et votre mot de passe et les transmettre aux pirates.

Cela représente un défi pour les systèmes de sécurité automatisés, notamment les passerelles de messagerie sécurisées (SEG), qui analysent le contenu des sites web pour identifier les tentatives de phishing, ont noté les chercheurs. La nouveauté des attaques de phishing utilisant des URI blob signifie que les modèles de sécurité basés sur l'IA ne sont peut-être pas encore suffisamment entraînés pour distinguer les utilisations légitimes des utilisations malveillantes.

Ce manque de reconnaissance des modèles, combiné à la tactique courante des attaquants consistant à utiliser plusieurs redirections, complique la détection automatisée et augmente la probabilité que les e-mails de phishing contournent la sécurité.

Cofense Intelligence a observé plusieurs campagnes de phishing utilisant cette technique d'URI blob, avec des leurres conçus pour inciter les utilisateurs à se connecter à de fausses versions de services familiers comme OneDrive. Ces leurres incluent des notifications de messages chiffrés, des invites à accéder aux comptes fiscaux d'Intuit et des alertes d'institutions financières. Malgré la diversité des prétextes initiaux, le flux d'attaque reste cohérent.

Les chercheurs préviennent que ce type d'hameçonnage pourrait devenir plus courant, car il est très efficace pour contourner les sécurités. Il est donc important de se méfier des liens contenus dans les e-mails, même s'ils semblent rediriger vers des sites web réels, et de toujours vérifier avant de saisir ses identifiants. La présence de « blob:http:// » ou « blob:https:// » dans l'adresse du site web peut être le signe de cette nouvelle astuce.