Selon Netcraft, une campagne sophistiquée de phishing cible des organisations japonaises, notamment GMO Aozora Bank, en exploitant le format d’URL hérité de l’authentification Basic (username:password@domain). L’analyse a identifié 214 URLs similaires en 14 jours, dont 71,5% visant des utilisateurs japonais, avec usurpation de grandes marques comme Amazon, Google, Yahoo, Facebook et Netflix.
- Technique clé: insertion d’un domaine de confiance avant le symbole @ dans l’URL (ex. hxxps://trusted-domain@malicious-domain). Les navigateurs traitent la partie avant @ comme des identifiants, pas comme la destination, ce qui dissimule la véritable cible.
- Les attaquants placent des domaines légitimes comme gmo-aozora[.]com dans le champ « nom d’utilisateur », accompagnés de chaînes encodées simulant des jetons de session.
Sur le plan infrastructurel, plusieurs domaines malveillants — coylums[.]com, blitzfest[.]com, pavelrehurek[.]com — hébergent une infrastructure de phishing identique, avec un chemin commun /sKgdiq. Les pages utilisent des CAPTCHA en japonais pour renforcer la véracité perçue et filtrer les accès automatisés.
L’efficacité de la campagne repose sur la compatibilité persistante des navigateurs avec cette méthode héritée et sur la troncation des URLs dans les clients mail et navigateurs mobiles. La campagne cible particulièrement les utilisateurs japonais via du contenu localisé et l’usage de TLD .jp, tout en usurpant des marques grand public (Amazon, Google, Yahoo, Facebook, Netflix) pour maximiser le taux d’adhésion 🎣.
IOCs et TTPs:
- IOCs:
- Domaines malveillants: coylums[.]com, blitzfest[.]com, pavelrehurek[.]com
- Chemin observé: /sKgdiq
- Modèle d’URL: hxxps://<domaine_legitime_dans_username>@<domaine_malveillant>
- TTPs:
- Manipulation d’URL Basic Authentication (username:password@domain)
- Usurpation de marque (Amazon, Google, Yahoo, Facebook, Netflix)
- Abus de CAPTCHA en langue japonaise
- Exploitation de la troncation d’URL dans emails et mobiles
- Localisation (contenu en japonais, ciblage .jp)
Type d’article: analyse de menace publiée par Netcraft visant à documenter une technique de phishing « rétro » remise au goût du jour et ses indicateurs associés 🔎.
🧠 TTPs et IOCs détectés
TTPs
[‘Manipulation d’URL Basic Authentication (username:password@domain)’, ‘Usurpation de marque (Amazon, Google, Yahoo, Facebook, Netflix)’, ‘Abus de CAPTCHA en langue japonaise’, ‘Exploitation de la troncation d’URL dans emails et mobiles’, ‘Localisation (contenu en japonais, ciblage .jp)’]
IOCs
{‘domain’: [‘coylums[.]com’, ‘blitzfest[.]com’, ‘pavelrehurek[.]com’], ‘path’: ‘/sKgdiq’, ‘url_pattern’: ‘hxxps://<domaine_legitime_dans_username>@<domaine_malveillant>’}
🔗 Source originale : https://www.netcraft.com/blog/retro-phishing-basic-auth-urls-make-a-comeback-in-japan