Selon Cofense Intelligence, une campagne de phishing sophistiquée exploite des scripts JavaScript intégrés à des pièces jointes HTML ou à des liens de plateformes de collaboration cloud pour contourner les contrôles de sécurité et voler des identifiants.

L’attaque repose sur des pièces jointes HTML ou des liens vers des services cloud contenant du JavaScript qui réalise une sélection aléatoire d’un domaine .org, génère des UUIDs de suivi et remplace dynamiquement le contenu de la page par une fausse page de connexion, le tout sans redirection d’URL apparente. Par rapport aux scripts de phishing habituels, cette campagne se distingue par une sélection à domaine unique sans bascule, un double suivi par UUID (campagne et session) et une orchestration côté serveur qui imite finement des sites légitimes tout en contournant les contrôles de sécurité (SEG). 🎣

Sur le plan technique, le script charge jQuery depuis cdnjs.cloudflare.com, valide des adresses e‑mail encodées en Base64, et génère des identifiants via uuidv4(). Il choisit aléatoirement l’un de neuf domaines .org codés en dur (via Math.random()) puis envoie une requête HTTPS POST vers hxxps://[domain]/api/v3/auth avec un JSON incluant un UUID de campagne fixe (6fafd0343-d771-4987-a760-25e5b31b44f), un identifiant de session dynamique, le serveur sélectionné et l’e‑mail de la victime.

La réponse du serveur est utilisée pour remplacer intégralement le contenu de la page via document.write(resp.message), mettant en œuvre une détournement de session navigateur (MITRE T1185) sans redirection traditionnelle. Cette approche côté serveur permet de fournir des pages de phishing adaptées au contexte de la victime, renforçant la vraisemblance et l’évasion des défenses. 🛡️

IOCs et TTPs:

  • IOCs:
    • UUID de campagne: 6fafd0343-d771-4987-a760-25e5b31b44f
    • Modèle d’URL: hxxps://[domain]/api/v3/auth
    • Neuf domaines .org codés en dur (non divulgués dans l’extrait)
  • TTPs:
    • MITRE ATT&CK T1566.002 (Phishing par lien)
    • MITRE ATT&CK T1185 (Browser Session Hijacking)
    • Remplacement dynamique de page côté serveur, randomisation de domaine, double UUID tracking, évasion SEG

Il s’agit d’une analyse de menace technique visant à décortiquer le script de phishing et ses mécanismes d’orchestration côté serveur.

🧠 TTPs et IOCs détectés

TTPs

T1566.002, T1185

IOCs

UUID de campagne: 6fafd0343-d771-4987-a760-25e5b31b44f, Modèle d’URL: hxxps://[domain]/api/v3/auth

🔗 Source originale : https://cofense.com/blog/unpacking-the-phishing-script-behind-a-server-orchestrated-deception

🖴 Archive : https://web.archive.org/web/20251023081712/https://cofense.com/blog/unpacking-the-phishing-script-behind-a-server-orchestrated-deception