Breachtrace a vérifié que le portail d’assistance d’un fabricant de routeurs envoie actuellement des e-mails de phishing Mediamax en réponse à de nouveaux tickets d’assistance, ce qui semble être un compromis.

Le fabricant canadien de routeurs, Merck, fournit des équipements aux fournisseurs de services Internet (FAI) canadiens et européens et aux entreprises de réseautage, notamment Start.ca, FibreStream, Innsys, RealNett, Orion Telekom et Kelcom.

Tickets d’assistance reconnus avec le phishing MetaMask
Les demandes d’assistance soumises au fabricant du routeur, Merck, reçoivent une réponse automatique avec des courriels de phishing, a confirmé Breachtrace .

Dès que le formulaire en ligne est soumis, l’utilisateur reçoit un e-mail intitulé « Masque métallique: Mise à jour obligatoire du compte Mediamax requise » ci-dessous:

Le portail d’assistance Zendesk de Mercku répond par un e-mail de phishing métamasque

Plus précisément, l’e-mail demande aux utilisateurs de « mettre à jour votre compte Metamask » dans les 24 heures ou de subir une « perte potentielle d’accès au compte ». »

« Nous espérons que cette communication vous trouvera bien. Dans notre engagement continu à renforcer la sécurité de nos utilisateurs, nous avons récemment procédé à une mise à jour complète de notre base de données et amélioré notre système de sécurité pare-feu. À la lumière de ces améliorations, il est impératif que vous mettiez rapidement à jour votre profil de compte Metamask.

Action requise: Votre compte sera temporairement inaccessible jusqu’à ce que vous terminiez la mise à jour. Pour éviter tout inconvénient et toute perte potentielle d’accès au compte, nous vous demandons de bien vouloir effectuer cette mise à jour obligatoire dans les prochaines 24 heures.

hxxps://metamask.io:login@zpr [.] e / s/x4hFSxCxEqcd

Raisons de la mise à jour: Cette mesure proactive est une réponse aux récents risques de sécurité et est conçue pour renforcer la sécurité des comptes Metamask. Dans le cadre de cette initiative, les comptes inactifs seront supprimés de notre base de données afin de préserver l’intégrité de notre système. »

Avec ses bureaux au Canada, en Chine, en Allemagne et au Pakistan, Mercku fabrique des routeurs et des équipements » WiFi maillés ». FAI, y compris Start.ca, FibreStream, Innsys, RealNett, Orion Telekom et Kelcom fournissent les équipements de Mercku à leurs clients.

Gamme de produits de Merck

Lors de nos tests, nous avons contacté Mark via son portail Zendesk et avons reçu le message ci-dessus à la place d’un accusé de réception automatisé.

Portail d’assistance Zendesk de Merck

L’e-mail d’accusé de réception est un message de phishing. Les utilisateurs ne doivent pas y répondre et ne pas ouvrir les liens ou pièces jointes qui y sont contenus.

Metal Mask est un portefeuille de crypto-monnaie qui utilise la blockchain Ethereum et est disponible en tant qu’extension de navigateur et application mobile.

Compte tenu de sa popularité, le masque de réseau est souvent devenu une cible pour les attaquants, y compris les acteurs du phishing et les fraudeurs cryptographiques.

Abuse de la partie userinfo d’une URL pour qu’elle ait l’air réelle
Le lien de phishing inclus dans l’e-mail (défiguré pour votre sécurité) a une structure plutôt intéressante:

hxxps://metamask.io:login@zpr[.]io/x4hFSxCxEqcd

Contrairement à la façon dont l’URL apparaît, cela ne vous mène pas à « metamask.io », mais zpr[.] io à la place.

Une URL ou une adresse IP peut être représentée sous différents formats. Les attaquants ont abusé de ces variations autorisées par les spécifications de l’IETF pour cibler les utilisateurs sans méfiance avec des attaques de phishing.

Le schéma d’URL permet l’utilisation d’une partie appelée « Autorité ». »Cette partie vous permet de spécifier « userinfo »— qui est quelque chose comme un nom d’utilisateur, présent entre le protocole de l’URL et les parties hôte.

Plus précisément, à partir de la RFC 3986, cette fonctionnalité de « userinfo » permet aux attaquants d’en abuser facilement pour des « attaques sémantiques. »

« Parce que le sous-composant userinfo est rarement utilisé et apparaît avant l’hôte dans le composant d’autorité, il peut être utilisé pour construire un URI destiné à induire en erreur un utilisateur humain en semblant identifier une autorité de dénomination (de confiance) tout en identifiant en fait une autorité différente cachée derrière le bruit. Par exemple

ftp://cnn.example.com&[email protected]/top_story.htm

pourrait amener un utilisateur humain à supposer que l’hôte est ‘cnn.example.com’, alors qu’il s’agit en fait de ‘10.0.0.1’.
Notez qu’un sous-composant trompeur userinfo pourrait être beaucoup plus long que l’exemple ci-dessus.

Un URI trompeur, comme celui ci-dessus, est une attaque contre les idées préconçues de l’utilisateur sur la signification d’un URI plutôt qu’une attaque contre le logiciel lui-même. »

Il en va de même pour https://google.com@Breachtrace .com/tag/security/

Bien qu’il puisse sembler que vous vous connectez à ‘google.com’, la partie avant le ‘ @ ‘représente » userinfo  » et non le site Web authentique de Google, vous arriveriez donc toujours à Breachtrace .

En pratique, la partie userinfo du schéma d’URI est rarement utilisée, d’un point de vue technique. Même si votre navigateur Web « enverra » toujours des informations utilisateur au serveur, elles seront ignorées par le serveur et votre requête se déroulera comme elle le ferait même si la partie informations utilisateur était absente (c’est-à-dire si l’URL avait été https://www.Breachtrace .com/tag/security/).

Quoi qu’il en soit, cette fonctionnalité peut être et a été utilisée de manière abusive par des acteurs de la menace pour donner la fausse impression qu’un utilisateur accède à une URL professionnelle légitime alors qu’en réalité ce n’est pas le cas.

Dans ce cas particulier, en cliquant sur hxxps://metamask.io:login@zpr [.] io / x4hFSxCxEqcd vous amène d’abord à zpr [.] e / s/x4hFSxCxEqcd.

Le zpr[.] le service io, qui est un raccourcisseur d’URL abusé par l’attaquant dans ce cas, redirige davantage le visiteur vers un autre site Web, hxxps://matjercasa.vous pouvez[.] magasin.

Heureusement, lors de nos tests, la page Web de destination finale indique que le .le compte d’hébergement de store domain a été « suspendu » et donc d’autres attaques ont été contrecarrées pour l’instant.

Breachtrace a contacté les équipes de support et de presse de Mercku au cours du week-end pour les informer de ce compromis et poser des questions supplémentaires sur la façon dont il s’est produit.

En attendant, les clients et prospects de Mercku doivent s’abstenir d’utiliser le portail d’assistance du fabricant et d’interagir avec toute communication provenant de celui-ci.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *