La campagne de phishing usurpe l’identité de l’équipe de recrutement de Google avec de fausses invitations « Réserver un appel », en utilisant des identifiants de connexion usurpés et des astuces HTML, pour voler les informations d’identification du compte Google des victimes.
Les fraudeurs ont commencé à se faire passer pour les services de sensibilisation de la division « Carrières » de Google pour inciter leurs cibles à divulguer leurs informations d’identification.
Selon une découverte de Sublime Security, les attaquants envoient des messages qui semblent provenir de l’équipe de recrutement de Google, demandant « Êtes-vous prêt à parler ? » – et emmenez les victimes à travers un faux processus de réservation qui les amène sur une page de connexion usurpée.
L’arnaque exploite l’attention des demandeurs d’emploi et utilise des évasions intelligentes pour contourner les défenses de courrier électronique, en s’appuyant davantage sur l’erreur humaine que sur une violation technique, ont noté les chercheurs de Sublime dans un article de blog. Le but final de l’attaque est de récolter les informations d’identification du compte Google et d’obtenir un accès complet aux e-mails, aux fichiers et aux données cloud de la victime.
Déguisements astucieux et évasion dynamique
L’analyse de Sublime a révélé que l’attaque commence par un message usurpant l’identité de Google Careers, envoyé en plusieurs langues (anglais, espagnol, suédois, entre autres) et à partir d’adresses d’expéditeur variées qui imitent les services de recrutement. L’astuce se poursuit avec un lien « Réserver un appel » menant à une page de destination conçue comme le planificateur de Google qui mène à une fausse connexion Google standard.
Les attaquants ont utilisé des domaines nouvellement enregistrés (apply.gcareersapplyway(.)com) et utilisé des astuces HTML telles que la division du texte « Google Careers » en plusieurs éléments pour échapper aux scanners.
« Nous avons observé une tactique d’évasion intéressante dans (ces) attaques », ont déclaré les chercheurs de Sublime. « Les attaquants ont divisé les mots « Google Careers » avec un formatage HTML pour échapper aux scanners de texte. Dans un cas, ils ont placé chaque lettre de « Google » dans son propre élément
Au sein de l’ensemble d’expéditeurs détectés, Sublime a observé plusieurs cas « d’abus de service ou de compromission » pour la livraison des messages. Les services abusés comprenaient Salesforce, Recruitee, Addecco, Muckrack, etc. Les attaquants ont également incorporé une étape de vérification humaine usurpée : après le lien « Réserver un appel », la victime se voit présenter une page Cloudflare Turnstile réelle ou usurpée avant d’être redirigée vers le faux planificateur et finalement vers le formulaire de capture d’informations d’identification.
Que doivent faire les organisations
Sublime a observé une infrastructure backend sophistiquée prenant en charge l’opération de phishing. Plutôt que de s’appuyer uniquement sur une fausse page de connexion statique, les attaquants ont utilisé des domaines nouvellement enregistrés (comme Gappywave(.)com, gcareerspeople(.)com) et ce qui semblait être des serveurs de commande et de contrôle (C2) tels que satoshicommands(.)com pour traiter les informations d’identification volées.
De plus, le HTML et le JavaScript des fausses pages incluaient des interactions avec un fichier « gw.php » qui gère la communication back-end, indiquant un kit de phishing plus dynamique plutôt qu’une simple page de clonage statique.
Sublime a publié une liste d’indicateurs de compromission (IOC), notamment des serveurs WebSocket et une longue liste de domaines de pages de destination. L’entreprise de cybersécurité n’a ajouté aucune recommandation, mais les mesures d’hygiène de base contre la campagne pourraient inclure l’application d’une authentification multifacteur forte (MFA), le déploiement de stratégies de défense axées sur l’identité, la surveillance des modèles de connexion et des zones géographiques inhabituelles et la formation des employés à traiter les invitations non sollicitées des recruteurs avec scepticisme. Bien que le ou les acteurs menaçants derrière cette campagne restent non identifiés, des attaques similaires ont été signalées récemment, une opération (Contagious Interviews) étant même attribuée à un APT nord-coréen.
