Les hackers mènent des campagnes de phishing sur l'outil InDesign de la suite Adobe pour collecter des identifiants.
La nouvelle découverte des chercheurs de CheckPoint devrait vous intéresser si vous êtes amateur de brochures, magazines, dépliants, affiches ou autres, et que vous passez par Adobe InDesign pour les créer. Les pirates se servent de plus en plus du logiciel pour envoyer des documents de phishing. Les experts lancent l'alerte.
Les hackers créent du contenu dans InDesign et vous envoient des e-mails de hameçonnage
C'est bien connu, pour exploiter des services légitimes à des fins malveillantes et gagner en crédibilité auprès des victimes potentielles, il suffit de s'inscrire sur n'importe quel service en ligne gratuit. Les pirates ont acquis un tel savoir-faire en la matière qu'ils sont capables de passer outre la vigilance des services de sécurité et des utilisateurs finals, qui deviennent incapables de les déchiffrer.
Ces nouveaux services se multiplient et apparaissent toujours plus nombreux. Au cours du dernier mois, Check Point Software nous indique avoir enregistré des millions d'attaques de ce type. Dont celle d'Adobe InDesign, qui aboutit à de la collecte d'identifiants.
Ici, l'attaque consiste pour les hackers à créer du contenu dans Adobe InDesign pour envoyer des liens de phishing. On a ici l'e-mail comme vecteur ; la compromission de messagerie comme type ; l'ingénierie sociale et la collecte d'identifiants comme techniques ; et tout utilisateur final comme cible. Voyons maintenant comment cela fonctionne.
Un banal lien Adobe qui passe au travers de la détection
Le message électronique prend l'apparence d'un envoi de facture. On retrouve en objet un numéro de facture et un numéro de commande. Le lien rattaché à l'e-mail, Indd.adobe.com, renvoie vers la version cloud (en ligne) d'Adobe InDesign. Mais en réalité ici, le lien redirige l'utilisateur vers un document malveillant.
Étant donné que le lien est légitime, les détecteurs de liens n'y voient que du feu, et passer la souris sur le lien ne révèle rien de suspect. Alors, évidemment, vous serez sans doute surpris de recevoir une facture ou un relevé par InDesign, mais Adobe reste une marque légitime. Le fichier PDF partagé renvoie bien à une page Adobe.
Dans ce type d'attaque (BEC 3.0), la rapidité d'exécution est déterminante. « Ce type d'attaque en profite, car il fait appel à un outil courant et facile à utiliser tel qu'Adobe InDesign », note Jeremy Fuchs, chercheur-analyste pour Check Point Software. « Le lien est légitime, il passera donc au travers des scanners standards et sous le nez de l'utilisateur final. Dans ce cas, il faut émuler l’action derrière le lien pour vraiment comprendre ce qui se passe. Ce n'est pas toujours ce que font les services de sécurité. Arrêter les attaques, c'est un peu comme jouer au chat et à la souris. Un pirate informatique trouve quelque chose qui marche. Et il va continuer jusqu'à ce que les services de sécurité, tous secteurs confondus, puissent l'arrêter de manière définitive. Ensuite, il changera d'approche et essaiera quelque chose de nouveau. »
Pour le moment, et c'est toute la difficulté, la plupart des services de sécurité ont du mal à arrêter les attaques BEC 3.0. Les pirates ne s'en privent pas et continuent de sévir. Adobe, de son côté, a été prévenue le 25 juillet par les experts cyber.
