Qatar 2022 : la Coupe du monde du phishing ?

La Coupe du monde de football, qui a lieu en ce moment même au Qatar, attire les acteurs malveillants depuis déjà plusieurs semaines. Des campagnes de phishing ont notamment été lancées.

Sans surprise, les pirates informatiques saisissent l'opportunité rare du Mondial 2022 de football au Qatar pour se mêler à la fête à leur façon. Les experts en cybersécurité de Trellix ont décortiqué les tactiques mises en place par les hackers pour tenter de piéger leurs victimes. Des e-mails de phishing ont été interceptés.

La Coupe du monde de football, un formidable terrain de jeu pour les hackers

Pour appâter leurs cibles, les pirates utilisent l'image de la FIFA, la fédération internationale, pour viser les organisations des pays arabes. Il est évidemment courant que des attaquants ciblent des événements populaires et à très forte résonnance, comme la Coupe du monde, pour diffuser des tactiques basées sur l'ingénierie sociale et toucher les entreprises, associations et autres organisations directement ou indirectement liées à l'événement.

Trellix explique avoir relevé une hausse de 100 % du volume de courriers électroniques malveillants au mois d'octobre, dans les pays arabes. Et si la sensibilisation a été réelle et que les organisations se disent prêtes à éviter les attaques, l'erreur humaine n'est jamais pleinement écartée, et les risques sont démultipliés pendant le Mondial.

Les pirates informatiques profitent de l'événement pour exfiltrer des informations personnelles et financières, collecter des données confidentielles et même essayer de nuire à la réputation du pays attaqué. Ça, c'était l'aspect purement théorique. Car Trellix a pu intercepter plusieurs types d'e-mails malveillants envoyés ces dernières semaines.

Du phishing par e-mail et des URL malveillantes, les pirates exploitent à fond l'opportunité

L'une des campagnes identifiées consiste, pour le hacker, à se faire passer pour le service d'assistance de FIFA TMS, une plateforme en ligne de la fédération. Le corps de l'e-mail affiche alors une fausse notification d'alerte, qui concerne la soi-disant désactivation de l'authentification à deux facteurs. Le message contient un lien hypertexte qui redirige alors la victime potentielle vers une page de phishing.

Seconde situation : un pirate usurpe l'identité de la billetterie de la FIFA. Dans le courrier électronique, il expose au destinataire un problème de paiement, pour qu'il le résolve le plus rapidement possible. Sauf que l'e-mail contient une pièce-jointe au format HTML, qui redirige elle aussi vers une page de phishing personnalisée.

Certains partenaires du Mondial sont aussi détournés pour mener des campagnes malveillantes. Trellix note par exemple l'usurpation de Snoonu, partenaire officiel de livraison de nourriture de la Coupe du monde, qui offre de faux billets, gratuits, à ceux qui s'inscrivent sur cette dernière. Le piège est gros, mais l'e-mail contient un fichier XLSM malveillant, qui ensuite fait le reste.

Les e-mails ne sont pas la seule arme utilisée par les pirates. Les chercheurs en cyber ont aussi fait la découverte de nombreuses URL malveillantes, toujours sur le thème de la Coupe du monde. Plusieurs familles de malwares plutôt connus (Emotet, QuadAgent, Qakbot, Remcos, Formbook) ont été identifiées, ciblant des pays arabes pour, entre autres, prendre le contrôle de machines à distance, voler des données et espionner certaines activités.

Source : Trellix