Scattered Spider utilise un faux CAPTCHA pour échapper à la détection
22 mai 2025
Par Samantha Clarke, Rikesh Vekaria, Ankit Gupta, Hiwot Mendahun et Jared Van Loon
Ce que vous apprendrez dans cette notification
- Plus de 150 000 campagnes de Phishing se faisant passer pour des prestataires de services, notamment SendGrid, HubSpot, Google et Okta
- Principalement envoyés à partir de comptes SendGrid en marque blanche
- Utilisation d'un faux CAPTCHA pour échapper à la détection
- Campagnes récentes ciblant principalement les entreprises des secteurs de la vente au détail et des logiciels en tant que services aux États-Unis et au Royaume-Uni
- Objectif de la campagne : vol d'identifiants
L'équipe de recherche sur les menaces de Mimecast surveille plusieurs groupes de campagnes de Phishing liées entre elles, qui ont débuté en février et se poursuivent jusqu'en mai 2025. Ces campagnes se font passer pour des fournisseurs de services de messagerie (ESP) légitimes, principalement SendGrid, afin d'envoyer des notifications frauduleuses aux utilisateurs finaux. Ces campagnes comportent souvent des messages urgents concernant des restrictions de compte, des alertes de connexion ou des avertissements relatifs à la conformité, incitant les destinataires à cliquer sur un appel à l'action. L'objectif de ces campagnes semble être de collecter des identifiants afin d'envoyer d'autres e-mails de Phishing. Dans le cadre de notre processus de recherche sur les menaces, nous avons signalé ce problème à SendGrid.
Campagnes de Phishing visant les fournisseurs de solutions SaaS via Okta
Entre avril et mai 2025, nous avons constaté une tendance à la multiplication des campagnes de spear phishing ciblant des entreprises spécifiques proposant des solutions SaaS (Software-as-a-Service), avec plusieurs exemples imitant les procédures de connexion à Okta. Okta est une plateforme de gestion des identités et des accès (IAM) utilisée par des milliers d'organisations à travers le monde et qui constitue la porte d'entrée de l'environnement numérique d'une entreprise. Ces pages de Phishing présentent une mise en page inspirée de l'authentification unique (SSO), conçue pour abuser de la confiance des utilisateurs et dérober leurs identifiants au sein des environnements d'entreprise. Ces campagnes semblent cibler des cadres supérieurs susceptibles de disposer d'un accès privilégié aux systèmes internes.
Cette tactique s'inscrit dans la lignée des méthodes attribuées au groupe d'acteurs malveillants « Scattered Spider », mis en évidence par Silent Push, connu pour son recours à des techniques avancées d'ingénierie sociale et à des kits de phishing de type « adversary-in-the-middle » (AiTM). En se faisant passer pour Okta et d’autres portails d’authentification unique (SSO), ce groupe cherche à compromettre des plateformes SaaS de grande valeur — telles que les systèmes de gestion de la relation client et d’assistance — en récupérant les identifiants d’authentification et les jetons de session. L'objectif consiste souvent à obtenir un accès privilégié à des environnements sensibles, à contourner l'authentification multifactorielle (MFA) et à permettre des déplacements latéraux au sein des réseaux d'entreprise.
Stratégie : fausses fenêtres interstitielles CAPTCHA de Cloudflare
Ces campagnes utilisent de fausses pages intermédiaires CAPTCHA de Cloudflare comme principal mécanisme de contournement. Les pirates affichent une fausse page Cloudflare comportant un identifiant Ray statique avant de rediriger les utilisateurs vers la page de destination du Phishing. Cette technique imite une requête légitime du navigateur afin de contourner les scanners automatisés d'e-mails et d'URL.
Faux identifiant « Ray ID » de Cloudflare, tel qu'il apparaît dans les campagnes d'hameçonnage de Phishing de Sendgrid. Dans les échantillons observés dans le cadre de ces campagnes de Phishing, l'identifiant « Ray ID » reste inchangé, mais peut apparaître dans différents types de balises HTML.
Ray-ID Cloudflare authentique, tel qu'il apparaît dans une campagne sans rapport avec celle-ci, qui contient un véritable Ray-ID au sein des <code>balises>du code <. .
Les services CAPTCHA légitimes, tels que Cloudflare et Google reCAPTCHA, exigent généralement des clés API associées à des domaines vérifiés et appliquent des limites de débit ainsi que des mesures de protection contre les robots. En utilisant de faux CAPTCHA, les cybercriminels peuvent contourner ces restrictions, ce qui leur confère davantage de contrôle et de flexibilité dans le déploiement de leurs campagnes de Phishing.
Par ailleurs, de nombreuses campagnes de Phishing se faisant passer pour des services tels que SendGrid et Okta ont régulièrement réutilisé des modèles créés avec Create React App (CRA). CRA est un framework de développement qui permet aux pirates de déployer rapidement des pages basées sur React avec un minimum d'installation ou de configuration. Ces pages conservent souvent les métadonnées et les ressources par défaut du modèle « Create React App », ce qui constitue un indicateur fort d'une infrastructure de Phishing basée sur un kit. Ces faux portails de connexion ont en commun les éléments suivants : <meta name="description" content="site web créé à l’aide de create-react-app"> , <link rel="apple-touch-icon" href="/logo192.png"> , et <link rel="manifest" href="/manifest.json">, ainsi que des éléments non personnalisés <title> tels que « React App » ou « SendGrid Verification ». La réutilisation de ressources statiques telles que main.[hash].js et main.[hash].css Cela laisse penser que les pirates déploient des versions clonées ne présentant que des modifications esthétiques mineures.
Les URL de Phishing observées dans ces campagnes suivent des schémas structurels cohérents, conçus pour usurper l'identité de services d'entreprise de confiance. De nombreux noms de domaine contiennent des mots-clés tels que « sso », « login », « account » ou « security », et reprennent souvent les conventions de nommage propres aux infrastructures cloud (par exemple, aws-us3-manageprod.com, portal-sendgrld.com). Le « typo-squatting » est courant : il s'agit d'apporter de légères modifications à des noms de marque tels que SendGrid ou Google.
Un grand nombre de noms de domaine utilisés dans ces campagnes de Phishing sont enregistrés par l'intermédiaire de NICENIC INTERNATIONAL GROUP CO., LIMITED, un bureau d'enregistrement fréquemment associé à des pratiques abusives et particulièrement prisé par Scattered Spider dans ses campagnes depuis fin 2024. Son attrait réside dans une procédure d'inscription simplifiée, avec un minimum de vérifications d'identité, ainsi que dans une réponse tardive en cas d'abus, ce qui prolonge la durée de vie des sites malveillants. NICENIC propose également, par défaut, la protection de la confidentialité des données WHOIS, ce qui rend l'identification et le suivi plus difficiles. Les chercheurs en cybersécurité de Mimecast ont procédé à des vérifications manuelles afin de déterminer qui avait enregistré les domaines mentionnés dans la section « IOC » ; ces vérifications ont confirmé ces tendances, qui concordent avec les informations mentionnées dans l'article consacré au « silent push ». Cette combinaison d'accessibilité et d'anonymat en fait une option intéressante pour les cybercriminels qui cherchent à déployer rapidement des domaines et à en changer fréquemment.
Au cours des récentes campagnes, l'équipe de recherche sur les menaces de Mimecast a constaté que des identifiants piratés étaient transmis. Le site de Phishing hébergé sur sendgr.id-unlink[.]com il récupère les identifiants de connexion et les envoie via une requête POST à l'adresse IP 185.208.156.251.
L'adresse IP 185.208.156.251 est activement impliquée dans des opérations de Phishing ; elle héberge un certificat TLS Let's Encrypt qui sécurise plusieurs domaines suspects, comme indiqué ci-dessous. Ce certificat, valable du 7 mai au 5 août 2025, soit pour quelques mois seulement, est hébergé sur une infrastructure fournie par Global-Data System IT Corporation, un hébergeur réputé pour ses serveurs privés virtuels (VPS).
L'utilisation d'un certificat TLS valide fourni par Let's Encrypt confère une apparence de légitimité à ces sites de Phishing, ce qui peut inciter les utilisateurs à leur faire confiance. Le regroupement de plusieurs domaines liés au phishing sous un même certificat et une même adresse IP laisse supposer l'existence d'une campagne coordonnée, qui utilise probablement une infrastructure back-end partagée afin de rationaliser ses opérations.
Protection Mimecast
Nous avons identifié plusieurs caractéristiques dans les campagnes récentes, qui ont été intégrées à nos capacités de détection. Nous continuons à surveiller l'évolution des techniques utilisées par cet acteur malveillant.
Objectifs:
Principalement aux États-Unis et au Royaume-Uni, secteur de la distribution, SaaS
CIO
Domaines identifiés en février 2025
complete-sendgrid[.]com
response-crmsg[.]com
response11-sendgrid[.]com à response20-sendgrid[.]com
responseinquiry-tos[.]com
responsesendgrid[.]com
review-termsconditions[.]com
Domaines identifiés en avril 2025
aws-us3-manageprod[.]com
internal-ssologin[.]com
legalcompliance-login[.]com
login-request[.]com
login-enterprisesso[.]com
mange-accountsecurity[.]com
myhubservices[.]com
password-internal[.]com
portal-sendgrld[.]com
production-us12[.]com
service-settings[.]com
sso-accountservices[.]com
services-goo[.]com
sso-gservices[.]com
ssologinservices[.]net
signon-directory[.]com
grid-authority[.]com
grid-network[.]com
grid-sso[.]com
sendgr.id-unlink[.]com
appeal.grid-secureaccount[.]com
grid-secureaccount[.]com
send.grid-secureaccount[.]com
Sgupgradegold[.]com
grid-sso.com
Domaines récemment créés pouvant présenter des liens avec Scattered Spider
oktacheck.it[.]com
okta.ubzbpmwxvmskewyqbhsgbcxhdfmetr.micraclefoundations.it[.]com
okta.athuymircrosovfts365ovaw.it[.]com
IP
185.208.156.251
84.200.205.9
Recommandations
-
Formation de sensibilisation des utilisateurs
- La première ligne de défense contre toute forme de Phishing consiste à sensibiliser votre personnel à ne pas faire confiance à tous les liens et à savoir repérer les liens ou les pages Web malveillants
- Organisez régulièrement des simulations de Phishing incluant des scénarios liés aux autorisations Okta
- Veillez à ce que les utilisateurs identifient activement les attaques par « fatigue de l'authentification multifactorielle » et sachent comment les prévenir
-
Révision de la politique de sécurité
- Mettez en place une authentification multifactorielle (MFA) robuste, en privilégiant les méthodes résistantes au phishing. Désactivez les méthodes d'authentification moins sécurisées afin de réduire considérablement le vol d'identifiants, même si des pirates informatiques expérimentés pourraient tout de même tenter de s'y prendre.
- Appliquez des politiques d'accès conditionnel afin de n'accorder l'authentification et l'autorisation qu'aux appareils fournis par l'entreprise, ce qui réduit considérablement les accès non autorisés.
-
Recherche proactive des menaces
- Recherchez dans les journaux de « URL Protect » à l'aide de filtres spécifiques pour les domaines et les identifiants RAY identifiés, car ceux-ci constituent un indicateur clé de compromission.
- Recherchez les événements d'authentification provenant de plages d'adresses IP inconnues, en particulier celles associées à des infrastructures d'attaquants connues
- Recherchez les pages de Phishing basées sur React qui contiennent des métadonnées révélatrices, telles que le site ", créé à l'aide de create-react-app"
- Recherchez dans les journaux des reçus d'e-mails les messages associés à Sendgrid