Kit de phishing Xiū gǒu
Des experts en cybersécurité ont découvert un nouveau kit de phishing, connu sous le nom de Xiū gǒu, qui est activement utilisé depuis au moins septembre 2024 dans des campagnes ciblant l'Australie, le Japon, l'Espagne, le Royaume-Uni et les États-Unis.
À ce jour, plus de 2 000 sites Web de phishing utilisant ce kit ont été identifiés. Il a été déployé dans divers secteurs, notamment les services publics, les secteurs postal, numérique et bancaire. Les acteurs malveillants à l'origine de ce kit exploitent fréquemment les fonctionnalités anti-bot et les techniques d'obfuscation de l'hébergement de Cloudflare pour échapper à la détection, ce qui rend les attaques plus difficiles à retracer.
Table des matières
Que sont les kits de phishing ?
Les kits de phishing tels que le Xiū gǒu présentent un risque en abaissant la barrière d’entrée pour les pirates moins expérimentés, ce qui pourrait entraîner une augmentation des campagnes malveillantes visant à voler des informations sensibles.
Créé par un acteur malveillant parlant chinois, le kit Xiū gǒu comprend un panneau d'administration et est construit avec des technologies comme Golang et Vue.js. Le kit est également configuré pour exfiltrer les identifiants et autres données des pages de phishing hébergées sur le domaine « .top » via Telegram.
Comment se déroulent les attaques de Xiū gǒu ?
Les attaques de phishing sont diffusées via des messages RCS (Rich Communications Services) au lieu de SMS traditionnels, alertant les destinataires d'amendes de stationnement présumées et de livraisons de colis échouées. Ces messages incitent les destinataires à cliquer sur un lien raccourci créé à l'aide d'un service de raccourcissement d'URL pour payer l'amende ou mettre à jour leur adresse de livraison.
Ces escroqueries incitent souvent les victimes à fournir des informations personnelles et à effectuer des paiements, tels que des frais pour libérer un colis ou régler une amende.
RCS, principalement disponible via Apple Messages (à partir d'iOS 18) et Google Messages sur Android, améliore l'expérience de messagerie en offrant des fonctionnalités telles que le partage de fichiers, les indicateurs de saisie et le cryptage de bout en bout (E2EE) en option.
Google met en œuvre des mesures de sécurité supplémentaires
Google a annoncé de nouvelles mesures pour améliorer la protection contre les tactiques de phishing, notamment le déploiement d'une détection améliorée des escroqueries qui utilise des modèles d'apprentissage automatique sur l'appareil pour filtrer spécifiquement les messages frauduleux liés aux livraisons de colis et aux offres d'emploi.
L'entreprise teste également des alertes de sécurité pour les utilisateurs en Inde, en Thaïlande, en Malaisie et à Singapour qui reçoivent des SMS d'expéditeurs inconnus contenant des liens potentiellement dangereux. Ces nouvelles mesures de sécurité, qui devraient être déployées à l'échelle mondiale plus tard cette année, bloqueront également les messages contenant des liens provenant de sources suspectes.
De plus, Google introduit une fonctionnalité qui permet aux utilisateurs de « masquer automatiquement les messages provenant d'expéditeurs internationaux qui ne sont pas des contacts existants » en les déplaçant vers le dossier « Spam et messages bloqués ». Cette fonctionnalité a été initialement testée à Singapour.
