Le laboratoire de recherche de Zscaler a découvert dans le courant du mois d’août un schéma d’attaque de phishing sur le réseau social professionnel.
Durant ce dernier mois le laboratoire ThreatLabZ de Zscaler a constaté un fort trafic ayant pour origine un site malicieux utilisant LinkedIn pour bâtir un schéma d’ingénierie sociale afin de voler des identifiants d’utilisateurs et de placer des codes malicieux sur leurs publications. Les attaquants utilisaient un site légitime chez un hébergeur connu, Yola, pour stocker leur contenu malveillant. Les codes malveillants semblent en relation avec le malware Agent Tesla et un code encore inconnu et pas encore vu en action. Le but semble être le vol d’informations et leur exfiltration via SMTP.
L’appât premier consistait en une page reprenant le logo de LinkedIn qui prétendait proposer des emplois dans toutes les régions du monde pour une compagnie appelée « Jobfinders 3ee ». Un lien proposait de télécharger un fichier ZIP qui contenait les binaires .Net infectés.
Une deuxième étape, sous la forme d’une page LinkedIn, demandait encore plus d’informations personnelles comme le numéro de téléphone et le pays.
L’attaque se déroule ainsi sur plusieurs étapes et vise spécifiquement des utilisateurs du réseau social professionnel LinkedIn. L’exfiltration des données se réalisait sur des adresses mails spécifiques comme "linkedinjob" ou "linkedin.office" qui semblent avoir été créées spécifiquement pour cette attaque selon les chercheurs du laboratoire.
Vous trouverez plus de détails sur la page de blog de l’éditeur ainsi que la fiche complète d’indice de compromission.
Un exemple du Keylogger d'Agent Tesla, un must des campagnes de phishing du moment.