Des cybercriminels ont usurpé l’identité de plus de trente marques, dont Adidas, Netflix, Coca-Cola et OpenAI, pour piéger des professionnels du marketing avec de fausses offres d’emploi. Le chercheur Will Thomas, de la société Team Cymru, a découvert un parcours de redirections successives qui aboutit sur une fausse fenêtre de connexion Google, destinée à voler les identifiants des victimes.

Des hackers ont envoyé à des salariés du marketing un e-mail qui imitait une prise de contact professionnelle. Ils ont emprunté le nom et la photo d’un recruteur réel, rattaché à une marque comme Adidas, Netflix ou McKinsey. Les faux recruteurs ont invité leurs victimes à réserver, via Google, un créneau d’entretien. Le chercheur britannique Will Thomas, de la société Team Cymru, a révélé cette campagne dans laquelle les assaillants ont détourné quatre plateformes légitimes avant d’aboutir sur une fausse fenêtre de connexion Google. Il a déjà recensé trente-quatre domaines frauduleux, actifs depuis au moins cinq mois et répartis entre les secteurs du transport, de la mode, de l’agroalimentaire et de la tech.
Les pirates ont emprunté des plateformes légitimes pour brouiller les pistes
PeopleForce a hébergé l’envoi initial de l’e-mail, une plateforme de ressources humaines authentique utilisée par de vraies entreprises pour leurs campagnes de recrutement. Les pirates ont programmé une deuxième redirection vers exct.net, domaine associé à Salesforce Marketing Cloud depuis le rachat de la plateforme ExactTarget. Ils ont ajouté une troisième étape via Wise Agent, logiciel de gestion de la relation client destiné aux agents immobiliers, avant d’aboutir sur un site fabriqué avec l’outil Netlify. Les équipes de sécurité ont peiné à repérer la fraude, car chaque maillon de la chaîne appartenait à un service légitime et non signalé comme malveillant.
Les pirates ont utilisé, sans son accord, le nom et la photo de Paulina Manzo, une professionnelle des ressources humaines, dans un e-mail qui imitait un recruteur d’Adidas. Elle a signalé l’usurpation sur LinkedIn après avoir découvert son nom associé à la campagne. Les personnes qui cliquaient sur le lien de calendrier atterrissaient sur adidas-hiring[.]com, un des trente-quatre domaines frauduleux repérés par Will Thomas.

Les assaillants ont recréé une authentification Google factice
Les pirates ont fabriqué, pixel par pixel, une fenêtre reproduisant l’apparence d’un vrai module d’authentification Google. La victime qui cliquait sur le bouton « Continue with Google » la découvrait à l’écran. Cette fenêtre n’est pourtant qu’une image construite en HTML et CSS, intégrée à la page piégée. Le chercheur connu sous le pseudonyme mrd0x avait mis au point cette méthode dès 2022, baptisée browser-in-the-browser, pour fabriquer de fausses fenêtres de connexion impossibles à distinguer des vraies au premier regard. Une victime attentive peut repérer la supercherie, car il est impossible de déplacer ou de redimensionner la fenêtre falsifiée, contrairement à une véritable fenêtre d'’authentification.
Plusieurs groupes de pirates ont multiplié les campagnes de recrutement frauduleuses depuis plusieurs mois. Les groupes nord-coréens Sapphire Sleet et Ruby Sleet ont dérobé plus de dix millions de dollars en cryptomonnaies en six mois grâce à de faux profils de recruteurs sur LinkedIn. Ces groupes exploitent les mêmes ressorts de confiance professionnelle que la campagne repérée par Will Thomas. Ce dernier a toutefois constaté une différence par rapport à ces opérations. Les professionnels du marketing y ont remplacé les développeurs de logiciels, habituellement les premiers destinataires de ce genre de piège.
Will Thomas n’a pas déterminé l’origine exacte de l’accès aux quatre plateformes légitimes. Les assaillants ont pu créer un compte authentique spécialement pour la campagne, ou utiliser des identifiants déjà compromis pour configurer la chaîne de redirections et la page finale.