Les chercheurs de Trellix ont identifié une recrudescence de campagnes exploitant la technique « Browser in the Browser » (BitB) depuis le second semestre de l’année dernière. Pour mémoire, les pirates créent des formulaires de connexion malveillants quasi indétectables des originaux. L’approche consiste à générer une fausse fenêtre contextuelle à l’intérieur de la page visitée, imitant parfaitement l’interface de connexion Facebook. Le code source révèle que l’URL officielle est codée en dur dans la page, histoire d’être plus convaincante.
Les adeptes de Facebook ont l’habitude de voir apparaître des pop-ups d’authentification lorsqu’ils se connectent à des services tiers avec leurs identifiants de connexion. Et c’est précisément ce mécanisme qui est détourné. Les attaquants reproduisent cette expérience en dessinant pixel par pixel une fausse fenêtre, barre d’adresse comprise.
Le piège se déclenche généralement depuis un e-mail alarmiste, signé d’un cabinet d’avocats ou prévenant d’une violation de copyright. Un lien raccourci mène d’abord vers une fausse page de captcha Meta, avant d’afficher la fenêtre de connexion frauduleuse.
L’hébergement des pages malveillantes sur des plateformes cloud légitimes comme Netlify ou Vercel complique la détection. Ces services offrent des sous-domaines en .app ou .dev, lesquels peuvent parfois paraître crédibles.
Les escrocs y déposent des kits de phishing complets, et profitent de la réputation de ces infrastructures pour contourner les filtres de sécurité. Les pages demandent d’abord des informations anodines (nom, e-mail, téléphone), avant d’exiger le mot de passe au dernier moment.
Des hébergeurs légitimes détournés et des URL masquées
Pour échapper aux analyses automatiques, les hackers se contentent de masquer leur URL malveillant derrière un raccourcisseur comme Lnk.ink ou Rebrand.ly… difficile à croire que cette méthode fonctionne encore…et pourtant… Une fois sur la page, le code JavaScript génère dynamiquement la fausse fenêtre. Les chercheurs ont recensé des dizaines de domaines compromis, tous incluant des noms évoquant le support Meta comme :
- report-copyright-metaplanet[.]net
- supportmeta-horizon[.]net
- meta[.]user-support-business[.]cfd
L’IA étant désormais capable de reproduire à l’identique des fenêtres de connexion, il devient donc nécessaire de bien vérifier les URL. Ici encore, l’authentification multifacteurs (MFA) reste le bouclier le plus efficace : même en cas d’incident, si les identifiants sont volés, les attaquants ne peuvent pas pirater le compte.
Source : Trellix
En savoir plus sur Gnatepe
Subscribe to get the latest posts sent to your email.
