Les emails de phishing sont soigneusement conçus pour imiter les notifications LinkedIn authentiques. Ils utilisent un ancien modèle de LinkedIn, datant d’avant 2020, probablement pour tromper les utilisateurs familiers avec cette interface. Les messages se font passer pour une demande de devis envoyée par un prétendu directeur commercial et incluent une photo de profil réelle pour renforcer leur crédibilité. L’entreprise mentionnée, « DONGJIN Weidmüller Korea Ind. », combine des noms de sociétés légitimes, mais n’existe pas réellement.
Bien que frauduleux, l’email parvient à contourner les protocoles de sécurité. La vérification du Sender Policy Framework (SPF) aboutit à un « softfail », indiquant une adresse IP non autorisée. L’absence d’une signature correcte de DomainKeys Identified Mail (DKIM), habituellement présente dans les communications légitimes de LinkedIn, renforce encore le caractère suspect du message. De plus, une mauvaise configuration de la politique DMARC permet au courriel d’échapper aux filtres de Microsoft Defender for Endpoint et d’atteindre directement les boîtes de réception des utilisateurs.
L’attaque se déclenche lorsque les destinataires cliquent sur les boutons « Lire la suite » ou « Répondre », entraînant silencieusement le téléchargement du RAT ConnectWise. Plutôt que d’utiliser une commande de téléchargement directe, cette campagne imite une demande commerciale légitime, réduisant la vigilance des utilisateurs habitués à l’interface de messagerie de LinkedIn.
Cette attaque met en évidence la sophistication croissante des campagnes de phishing et la manière dont les cybercriminels exploitent la confiance dans des marques reconnues pour contourner les mesures de sécurité. Une compromission réussie peut permettre aux attaquants d’obtenir un accès à distance aux systèmes sensibles, entraînant des violations de données, des perturbations opérationnelles et des pertes financières considérables. Les organisations doivent renforcer les protocoles d’authentification des emails, former leurs employés à reconnaître les tentatives de phishing et adopter des mesures de cybersécurité avancées pour contrer ces menaces en constante évolution.
Source: eSecurity Planet
La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.