Les fausses pages de destination sont déjà un élément essentiel de la supercherie cybercriminelle. Les pirates informatiques ont créé des centaines de contrefaçons Netflix et Disney + ces dernières années. Le groupe BazaLoader a également créé de faux sites, y compris une usurpation convaincante de l’identité d’un détaillant de lingerie. Mais BravoMovies va vraiment au-delà des attentes.

«Nous n’avons jamais vu un faux site de streaming entièrement créé auparavant», déclare Sherrod DeGrippo, directeur principal de la recherche et de la détection des menaces chez Proofpoint. «Il s’agit d’un nouveau niveau créatif d’ingénierie sociale.»

Les détails sur le site BravoMovies ne résistent pas toujours à un examen minutieux, mais ils donnent au moins un léger vernis de crédibilité à l’entreprise. La page d’accueil propose non seulement des flux HD, mais également des flux «Full HD» et 4K. Ses offres de catégories sont familières, même si les titres ne le sont décidément pas. Il fait la promotion des avantages courants tels que les téléchargements pour une visualisation hors ligne et la compatibilité avec une gamme d’appareils (y compris, de manière déroutante, les lecteurs Blu-ray).

Pour créer des affiches miniatures convaincantes de films, les attaquants ont attaqué le réseau social axé sur le design Behance à la recherche d’images, ainsi qu’une société de publicité et un livre intitulé Comment voler un chien. Les résultats penchent vers l’absurde, mais honnêtement pas beaucoup plus que ce que vous pourriez trouver au bas de votre file d’attente Netflix.

Capture d’écran: Proofpoint

Dans la mesure où les erreurs surgissent, eh bien… peut-être qu’elles le font pour vous. «Nous avons vu des pages de phishing qui sont construites sur des sites de création de sites Web gratuits et qui ressemblent à celles d’un enfant, et elles réussissent toujours», dit Hassold. « Si quelqu’un est arrivé au point d’arriver à cette page de destination, les petites fautes d’orthographe que la plupart des gens verraient probablement et feraient un signal d’alarme ne feront probablement pas beaucoup bouger l’aiguille. »

La portée de la campagne reste floue, tout comme son objectif ultime. En tant que porte dérobée, BazaLoader agit comme une sorte de zone de transit pour plus de logiciels malveillants spécialement conçus à cet effet qui viennent plus tard. Considérez-le comme le pont Bifröst de la légende nordique, mais offrant un passage pour les ransomwares plutôt que pour les dieux vikings hargneux. ProofPoint dit qu’il n’a pas détecté quelle que soit la charge utile de la deuxième étape, mais BazaLoader est étroitement lié au groupe derrière le célèbre malware Trickbot.

La complexité de la méthode BravoMovies a également ses inconvénients. Bien que ce soit pratique pour contourner les protections de messagerie, il est plus facile de faire cliquer les gens que d’appeler. «Parce que cela dépend tellement de l’interaction humaine, c’est-à-dire que quelqu’un prend le téléphone et passe un appel, il y a moins de chances que le destinataire interagisse avec l’acteur de la menace», déclare DeGrippo de ProofPoint. Elle ajoute que le groupe BazaLoader envoie généralement des dizaines de milliers d’e-mails dans une campagne donnée, avec un large ciblage à travers les zones géographiques et les secteurs.

Pourtant, le fait qu’ils aient consacré tant de temps et d’efforts indique que malgré les subtilités du système, il doit fonctionner. Il y a des intrigues de braquage plus excitantes là-bas. Mais des points, au moins, pour l’originalité.


Plus d’histoires WIRED