Selon next.ink, la boutique en ligne Alltricks a subi une compromission de son système d’envoi d’e-mails s’appuyant sur la plateforme Sendinblue (Brevo), entraînant l’envoi de messages de phishing à des clients.
L’attaque a exploité le mécanisme de redirection de liens propre aux services d’emailing: des liens au format « r.sb3.alltricks.com » semblaient légitimes car rattachés au domaine d’Alltricks, mais redirigeaient vers d’autres adresses. Des destinataires ont reçu des messages invitant à ouvrir un document OneDrive, renouveler un mot de passe ou ouvrir un fichier Excel. ⚠️
Alltricks a informé ses clients qu’une intrusion avait affecté son système d’e-mails. Des messages ont pu provenir d’adresses telles que pro@alltricks.com, infos@alltricks.com ou no-reply@alltricks.com. L’entreprise précise que ces e-mails ne proviennent pas de son équipe et ne doivent pas être ouverts. Elle indique enquêter pour déterminer s’il y a eu exfiltration de données.
Points techniques notables: l’usage d’un sous-domaine de tracking (r.sb3) accroît la crédibilité apparente des liens, pratique courante des plateformes marketing mais détournée ici pour le phishing. Le caractère trompeur est renforcé par la redirection opaque empêchant d’identifier la destination réelle du lien.
IOCs et TTPs observés:
- IOCs:
- Domaine/redirection: https://r.sb3.alltricks.com/xxxx
- Adresses d’envoi vues: pro@alltricks.com, infos@alltricks.com, no-reply@alltricks.com
- TTPs:
- Compromission d’un système d’emailing tiers (Sendinblue/Brevo)
- Phishing via liens de tracking redirigés
- Leurres: « Open in OneDrive », « renouveler votre mot de passe », « ouvrir un fichier Excel »
Type d’article: annonce d’incident et relais d’information visant à alerter sur une campagne de phishing liée à la compromission du système d’e-mails d’Alltricks.
🔗 Source originale : https://next.ink/195409/alltricks-pirate-de-faux-mails-avec-de-vrais-pieges-envoyes-aux-clients/