Selon PIXM Security (Chris Cleveland), ce rapport couvre une montée marquée des campagnes de phishing mi-fin septembre, avec une vague notable hébergée sur l’infrastructure Backblaze, l’emploi de kits Attack-in-the-Middle (AiTM) pour voler les codes MFA et cookies de session, et une hausse des scarewares Microsoft et des leurres visant des comptes personnels (American Express, Netflix).

  • Le 23 septembre, des pages hébergées sur des domaines Backblaze B2 ont été cliquées par 10 utilisateurs dans une demi-douzaine d’organisations au Kentucky et au Minnesota. Les identifiants étaient exfiltrés via l’API Bot de Telegram. Les leurres renvoyaient à des fichiers OneDrive et évoquaient des bons de commande (achats), ciblant probablement les équipes de procurement.

  • D’autres campagnes utilisent des stockages cloud légitimes pour profiter de leur réputation et TLS: pages Microsoft frauduleuses hébergées sur Linode Object Storage, avec détection d’outils headless et redirection vers une page blanche pour évasion de détection. Une campagne du 16 septembre a déployé des kits AiTM relayant la session vers Microsoft et collectant identifiants et cookies de session pour contourner la MFA; ces kits injectent de force du code dans tous les cookies JS afin de contrer les nouvelles défenses de Chrome/Edge/Safari contre les cookies tiers. Cette campagne a touché 9 utilisateurs en moins d’une journée sur 5 organisations, en s’appuyant sur un ensemble de sous-domaines coordonnés.

  • Le rapport note aussi une hausse des spear phish et scarewares Microsoft (15–17 septembre) : pages de support factice avec bips audio, verrouillage du navigateur (désactivation clic droit, clavier, F5, Esc), personnalisation régionale, usage d’outils d’analytics (Google Analytics, GoSquared) pour optimiser les conversions, et cloaking IP via apiip.net (redirections pour esquiver les crawlers, suggérant du malvertising). Plusieurs pages emploient des chargements longs, profilage de l’appareil, exfiltration automatique des identifiants avant soumission, jetons de tracking par destinataire, pré-remplissage de l’e-mail et redirection vers outlook.office.com après vol des identifiants.

  • Des attaques visent aussi des comptes personnels sur postes de travail: un phishing American Express recourt à des homoglyphes pour évasion, et un phishing Netflix hébergé sur Replit bénéficie de TLS gratuit et de réputation, avec encodages et détection pour rediriger les scanners vers le site légitime. Une autre campagne proposait des options de connexion multiples (Outlook, O365, Gmail, Yahoo, AOL) potentiellement depuis un domaine compromis.

  • PIXM conclut par des mesures de mitigation (blocage des domaines listés, sensibilisation aux risques même avec MFA, application MFA sur tous les accès, vigilance pour comptes personnels sur postes d’entreprise). Il s’agit d’une analyse de menace visant à documenter des campagnes actives, leurs infrastructures et techniques, et à fournir des indicateurs pour la défense.

IoCs (indicateurs, domaines/URLs observés) 🧷

  • tronklamnsj5rdf4[.]z13[.]web[.]core[.]windows[.]net
  • quinoa-sc2ddream[.]nagaisti[.]sa[.]com
  • secure[.]formloaders[.]com
  • login[.]beckleyrsvs[.]com
  • ferlo[.]psitesinternal[.]com
  • fdbn35fdhn[.]z13[.]web[.]core[.]windows[.]net/win[.]html
  • ghch78hjvhj[.]z13[.]web[.]core[.]windows[.]net/win[.]html
  • instantlyper[.]com
  • organizationbush[.]shop
  • 8e3138d0-2704-45a8-a76f-a0748981346d-00-2e8qjjpf3umir[.]janeway[.]replit[.]dev
  • comejoinus[.]de/beepoint/AcrobatN/
  • globalconfidentialprobook[.]us-southeast-1[.]linodeobjects[.]com
  • f005[.]backblazeb2[.]com
  • f005[.]backblazeb2[.]com/file/soooodheeeded/onedr-updated[.]html
  • f005[.]backblazeb2[.]com/file/asssrrrruuueeee/onedr-updated[.]html
  • newnewdomnew*.[.]beckleyrsvs[.]com (cluster de sous-domaines)
  • 50b8883cece74335ad4ed2c0d7e5fcef[.]formloaders[.]com
  • 7fbf392b40364463bd1f4fcb152691ed[.]formloaders[.]com

TTPs (techniques, tactiques et procédures) 🧪

  • Abus de services cloud légitimes pour hébergement et TLS: Backblaze B2, Azure web.core.windows.net, Linode Object Storage, Replit.
  • Exfiltration d’identifiants via Telegram Bot API; scripts cachés exfiltrant avant clic sur “Submit”.
  • AiTM: relais de session vers Microsoft, vol de 2FA/OTP et cookies de session, injection JS sur cookies pour contourner les protections anti-cookies tiers.
  • Évasion de détection: détection headless et redirection; cloaking basé sur IP (apiip.net); redirection post-soumission vers outlook.office.com; encodages pour masquer références à des marques légitimes.
  • Génération de sous-domaines jetables (ex. .formloaders.com, newnewdomnew.beckleyrsvs.com) pour échapper aux listes noires.
  • Leurres: partage OneDrive, bons de commande; pages multi-fournisseurs (Outlook/O365/Gmail/Yahoo/AOL).
  • Scareware: verrouillage du navigateur (désactivation clic droit/clavier/F5/Esc), bips audio, messages personnalisés par région/IP, analytics (Google Analytics, GoSquared) pour optimisation.

🧠 TTPs et IOCs détectés

TTP

[‘Abus de services cloud légitimes pour hébergement et TLS: Backblaze B2, Azure web.core.windows.net, Linode Object Storage, Replit’, “Exfiltration d’identifiants via Telegram Bot API; scripts cachés exfiltrant avant clic sur ‘Submit’”, ‘AiTM: relais de session vers Microsoft, vol de 2FA/OTP et cookies de session, injection JS sur cookies pour contourner les protections anti-cookies tiers’, ‘Évasion de détection: détection headless et redirection; cloaking basé sur IP (apiip.net); redirection post-soumission vers outlook.office.com; encodages pour masquer références à des marques légitimes’, ‘Génération de sous-domaines jetables (ex. .formloaders.com, newnewdomnew.beckleyrsvs.com) pour échapper aux listes noires’, ‘Leurres: partage OneDrive, bons de commande; pages multi-fournisseurs (Outlook/O365/Gmail/Yahoo/AOL)’, ‘Scareware: verrouillage du navigateur (désactivation clic droit/clavier/F5/Esc), bips audio, messages personnalisés par région/IP, analytics (Google Analytics, GoSquared) pour optimisation’]

IOC

[’tronklamnsj5rdf4.z13.web.core.windows.net’, ‘quinoa-sc2ddream.nagaisti.sa.com’, ‘secure.formloaders.com’, ’login.beckleyrsvs.com’, ‘ferlo.psitesinternal.com’, ‘fdbn35fdhn.z13.web.core.windows.net/win.html’, ‘ghch78hjvhj.z13.web.core.windows.net/win.html’, ‘instantlyper.com’, ‘organizationbush.shop’, ‘8e3138d0-2704-45a8-a76f-a0748981346d-00-2e8qjjpf3umir.janeway.replit.dev’, ‘comejoinus.de/beepoint/AcrobatN/’, ‘globalconfidentialprobook.us-southeast-1.linodeobjects.com’, ‘f005.backblazeb2.com’, ‘f005.backblazeb2.com/file/soooodheeeded/onedr-updated.html’, ‘f005.backblazeb2.com/file/asssrrrruuueeee/onedr-updated.html’, ’newnewdomnew*.beckleyrsvs.com’, ‘50b8883cece74335ad4ed2c0d7e5fcef.formloaders.com’, ‘7fbf392b40364463bd1f4fcb152691ed.formloaders.com’]

🔗 Source originale : https://pixmsecurity.com/blog/blog/aitm-evolution-and-cloud-abuse-septembers-backblaze-driven-phishing-wave/