Une nouvelle vague d’attaques d’appels de bazar utilise Google Forms pour générer et envoyer des reçus de paiement aux victimes, tentant de rendre la tentative de phishing plus légitime.
BazarCall, documenté pour la première fois en 2021, est une attaque de phishing utilisant un e-mail ressemblant à une notification de paiement ou à une confirmation d’abonnement à un logiciel de sécurité, une assistance informatique, des plateformes de streaming et d’autres marques bien connues.
Ces courriels indiquent que le destinataire est renouvelé automatiquement pour un abonnement extrêmement coûteux et qu’il doit l’annuler s’il ne veut pas être facturé.
Cependant, au lieu de contenir un lien vers un site Web, l’e-mail incluait historiquement un numéro de téléphone vers un prétendu agent du service client de cette marque, qui peut être contacté pour contester les frais ou annuler l’abonnement.
Un cybercriminel répond aux appels en se faisant passer pour un service client, incitant les victimes à installer des logiciels malveillants sur leurs ordinateurs en les guidant à travers un processus trompeur.
Le logiciel malveillant s’appelle BazarLoader et, comme son nom l’indique, il s’agit d’un outil permettant d’installer des charges utiles supplémentaires sur le système de la victime.
Abus des formulaires Google
La société de sécurité de messagerie électronique Abnormal rapporte qu’elle a rencontré une nouvelle variante de l’attaque BazarCall, qui abuse désormais de Google Forms.
Google Forms est un outil en ligne gratuit qui permet aux utilisateurs de créer des formulaires et des quiz personnalisés, de les intégrer sur des sites, de les partager avec d’autres, etc.
L’attaquant crée un formulaire Google avec les détails d’une fausse transaction, tels que le numéro de facture, la date, le mode de paiement et diverses informations sur le produit ou le service utilisé comme appât.
Ensuite, ils activent l’option « réception de la réponse » dans les paramètres, qui envoie une copie du formulaire rempli à l’adresse e-mail soumise.
À l’aide de l’adresse e-mail de la cible, une copie du formulaire rempli, qui ressemble à une confirmation de paiement, est envoyée à la cible depuis les serveurs de Google.
Google Forms étant un service légitime, les outils de sécurité de la messagerie ne signaleront ni ne bloqueront l’e-mail de phishing, de sorte que la livraison aux destinataires prévus est garantie.
De plus, le fait que l’e-mail provienne d’une adresse Google (« [email protected] ») lui confère une légitimité supplémentaire.
La copie de la facture inclut le numéro de téléphone de l’auteur de la menace, que les destinataires sont invités à appeler dans les 24 heures suivant la réception de l’e-mail pour contester, de sorte que l’élément d’urgence est présent.
Le rapport anormal ne se penche pas sur les dernières étapes de l’attaque. Cependant, BazarCall a été utilisé dans le passé pour obtenir un accès initial aux réseaux d’entreprise, conduisant généralement à des attaques de ransomware.