Les chercheurs de Cofense ont identifié une campagne de phishing sophistiquée qui imite des problèmes de connexion à des réunions Zoom pour voler les identifiants des utilisateurs. L’attaque utilise des emails jouant sur l’urgence, prétendant qu’une réunion d’urgence est nécessaire, et redirige les utilisateurs via plusieurs URL de suivi vers une fausse interface Zoom. Les identifiants sont récoltés lorsque les victimes tentent de « rejoindre » à nouveau la réunion.
Les données volées sont exfiltrées via Telegram, ce qui pourrait permettre des mouvements latéraux et des activités d’APT au sein des organisations ciblées.
L’attaque commence par des emails contenant des liens trompeurs qui redirigent via des services de suivi (cirrusinsight.com) et des raccourcisseurs d’URL (hubs.ly) avant d’atterrir sur une page de réunion Zoom factice hébergée sur r2.dev. La page de phishing affiche des visuels de réunion réalistes avec des participants, puis montre une erreur de connexion menant à un formulaire de collecte d’identifiants.
Les IOCs incluent plusieurs domaines et IP malveillants à travers la chaîne de redirection. Les identifiants volés et les métadonnées des victimes sont exfiltrés via l’API Telegram (bot7643846141).
Cet article est une analyse de menace détaillant les méthodes utilisées dans cette campagne de phishing et vise à informer les professionnels de la cybersécurité des nouvelles tactiques employées par les attaquants.
🧠 TTP et IOC détecté
TTP
T1566.002 - Spearphishing Link, T1071.001 - Application Layer Protocol: Web Protocols, T1071.003 - Application Layer Protocol: Mail Protocols, T1555 - Credentials from Password Stores, T1027 - Obfuscated Files or Information, T1078 - Valid Accounts, T1090 - Proxy, T1105 - Ingress Tool Transfer, T1560 - Archive Collected Data, T1041 - Exfiltration Over C2 Channel
IOC
cirrusinsight.com, hubs.ly, r2.dev, bot7643846141
🔗 Source originale : https://cofense.com/blog/fake-zoom-call-lures-for-zoom-workplace-credentials