Selon malasada.tech, une campagne de phishing à grande échelle, attribuée avec probabilité à PoisonSeed, cible des chercheurs d’emploi via des domaines à thème YouTube et des redirections hébergées sur l’infrastructure Salesforce afin de collecter des identifiants.

Le flux d’attaque 🎣 s’appuie sur des liens de suivi Salesforce (cl.s12.exct[.]net) menant à des pages d’atterrissage hébergées chez Cloudflare, avec des domaines enregistrés via NICENIC. Les victimes sont d’abord confrontées à de fausses pages d’erreur nginx (anti-analyse) nécessitant une interaction humaine, avant d’être redirigées vers de faux formulaires de prise de rendez-vous, puis vers des pages de vol d’identifiants.

L’attribution à PoisonSeed (distinct mais lié à Scattered Spider/0ktapus) repose sur des schémas de nommage de domaines, des chevauchements d’infrastructure et une corrélation via DomainTools SecuritySnacks. Plus de 70 domaines suivent des modèles liés à YouTube et au recrutement.

Les indicateurs email observés incluent des motifs d’expéditeur et d’en-têtes propres à l’écosystème Salesforce ExactTarget, et des redirections HTTP 302 depuis l’infrastructure Salesforce vers les domaines de phishing. L’analyse fournit aussi des requêtes de chasse utilisables en logs internes et pour la chasse externe avec Any Run et Silent Push.

IOCs et artefacts clés 🔎

  • Domaines à thème YouTube (exemples de motifs) : ^yt(recruit|talent|team|app|hiring|hire|career)[a-z]+.com$, yt(career|hire|recruit)*[.]com
  • Liens/infra Salesforce : cl.s12.exct[.]net
  • Motifs email : reply-.*@s12.y.mc.salesforce[.]com (expéditeur), bounce-.*@bounce.s12.exacttarget.com (Return-Path), .*@iad4s12mta[0-9]{1,}.xt.local (Message-ID)
  • Hébergement/registre : domaines hébergés chez Cloudflare, enregistrés via NICENIC
  • Signatures réseau : HTTP 302 de l’infra Salesforce vers domaines de phishing

TTPs observées 🧩

  • Ingénierie sociale ciblant les candidats (fausses offres/scheduling ➜ credential harvesting)
  • Anti-analyse via fausses erreurs nginx et exigence d’interaction humaine
  • Abus de SaaS tiers (infrastructure Salesforce/ExactTarget pour le suivi et la redirection)
  • Thématisation de domaines autour de YouTube pour la vraisemblance

Type d’article et but principal : analyse de menace fournissant renseignements tactiques, motifs d’emails/domaines et pistes de chasse.

🧠 TTPs et IOCs détectés

TTPs

[‘T1566.002 - Spearphishing Link’, ‘T1589.001 - Gather Victim Identity Information: Credentials’, ‘T1204.001 - User Execution: Malicious Link’, ‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1568.002 - Dynamic Resolution: Domain Generation Algorithms’, ‘T1592.001 - Gather Victim Host Information: Hardware’, ‘T1592.002 - Gather Victim Host Information: Software’, ‘T1592.003 - Gather Victim Host Information: Firmware’, ‘T1583.001 - Acquire Infrastructure: Domains’, ‘T1583.003 - Acquire Infrastructure: Virtual Private Server’, ‘T1583.006 - Acquire Infrastructure: Web Services’, ‘T1584.002 - Compromise Infrastructure: DNS’, ‘T1584.004 - Compromise Infrastructure: Web Services’, ‘T1203 - Exploitation for Client Execution’, ‘T1078.003 - Valid Accounts: Cloud Accounts’]

IOCs

[‘cl.s12.exct[.]net’, ‘^yt(recruit|talent|team|app|hiring|hire|career)[a-z]+.com$’, ‘yt(career|hire|recruit)[.]com’, ‘reply-.@s12.y.mc.salesforce[.]com’, ‘bounce-.@bounce.s12.exacttarget.com’, ‘.@iad4s12mta[0-9]{1,}.xt.local’]

🔗 Source originale : https://malasada.tech/poisonseed-youtube-themed-career-phishing/

🖴 Archive : https://web.archive.org/web/20251005205045/https://malasada.tech/poisonseed-youtube-themed-career-phishing/