Selon Push Security (billet de blog signé par Dan Green), l’éditeur a détecté et bloqué une campagne de phishing sophistiquée livrée via LinkedIn, conçue pour échapper aux contrôles traditionnels et voler des sessions Microsoft via une page d’hameçonnage en Adversary-in-the-Middle (AITM).

• Chaîne d’attaque: un lien malveillant envoyé en DM LinkedIn provoque une série de redirections (dont Google Search puis payrails-canaccord[.]icu) avant d’aboutir sur une landing page personnalisée hébergée sur firebasestorage.googleapis[.]com. L’utilisateur est invité à « view with Microsoft », puis doit passer un challenge Cloudflare Turnstile sur login.kggpho[.]icu; la page de phishing qui imite Microsoft est alors servie. La saisie des identifiants et la validation MFA conduisent au vol de session par l’attaquant.

• Techniques d’évasion observées: livraison via LinkedIn (hors périmètre des contrôles email), longue chaîne de redirections via des services légitimes (Firebase/Google, etc.) pour contourner les analyses de liens; bot protection avec CAPTCHA/Cloudflare Turnstile empêchant l’exploration automatisée; obfuscation et randomisation d’éléments de page (titre d’onglet, textes, images, logos, favicons), avec possibilité d’encodage et chargement dynamique à l’exécution. Un Detection Timeline est mentionné par la plateforme Push.

• Impact: la bascule des campagnes vers des apps sociales comme LinkedIn augmente l’efficacité face aux contrôles anti‑phishing classiques. Les comptes Microsoft/Google d’entreprise restent la cible, avec un risque pour les applications en aval via SSO en cas de compromission d’identité.

• Réponse de Push Security: le produit détecte en temps réel dans le navigateur, indépendamment du canal de livraison ou du camouflage, et bloque la page malveillante au chargement. Il couvre aussi d’autres menaces navigateur‑centrées (AiTM phishing, credential stuffing, extensions malveillantes, grants OAuth malveillants, ClickFix, session hijacking) et permet une remédiation proactive (ghost logins, lacunes SSO, lacunes MFA, mots de passe vulnérables).

• IOCs observés:

  • Domaines/URLs: payrails-canaccord[.]icu, login.kggpho[.]icu, firebasestorage.googleapis[.]com (hébergement de la landing), redirection via Google Search.

• TTPs clés (ATT&CK-ish):

  • Livraison via réseaux sociaux (LinkedIn DMs) 📬
  • Multi‑redirections et usage de services légitimes (Google/Firebase) pour l’évasion 🌐
  • Bot protection (Cloudflare Turnstile/CAPTCHA) 🚧
  • Obfuscation/randomisation de contenu et chargement dynamique 🪄
  • Phishing AITM imitant Microsoft, vol de session après MFA 🪪

Type d’article: billet de blog d’analyse de menace présentant une campagne LinkedIn, ses techniques d’évasion et la détection en temps réel par la plateforme de l’éditeur.

🧠 TTPs et IOCs détectés

TTP

[‘T1566.002 - Spearphishing via Service’, ‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1590 - Gather Victim Network Information’, ‘T1592 - Gather Victim Host Information’, ‘T1203 - Exploitation for Client Execution’, ‘T1557.002 - Adversary-in-the-Middle: Web Session Cookie’, ‘T1078 - Valid Accounts’, ‘T1027 - Obfuscated Files or Information’, ‘T1110.003 - Brute Force: Credential Stuffing’, ‘T1606.002 - Forge Web Credentials: OAuth’, ‘T1539 - Steal Web Session Cookie’]

IOC

[‘payrails-canaccord[.]icu’, ’login.kggpho[.]icu’, ‘firebasestorage.googleapis[.]com’]

🔗 Source originale : https://pushsecurity.com/blog/new-phishing-campaign-identified-targeting-linkedin-users