Une nouvelle plateforme de cybercriminalité nommée ATHR permet de collecter des informations d’identification via des attaques de phishing vocal totalement automatisées, utilisant à la fois des opérateurs humains et des agents IA pour la phase de manipulation sociale.
Cette opération malveillante est proposée sur des forums underground pour un tarif de 4 000 dollars, en prenant une commission de 10 % sur les bénéfices générés, et est capable de dérober des données de connexion pour divers services, notamment Google, Microsoft et Coinbase.
L’automatisation couvre toutes les étapes de l’attaque orientée téléphone (TOAD), depuis l’appâtage des cibles par email jusqu’à l’exploitation de techniques de manipulation vocale et la collecte des informations de compte.
Chaîne d’attaque ATHR
Les chercheurs de la société de sécurité des emails basée sur le cloud, Abnormal, décrivent ATHR comme un générateur complet d’attaques de phishing et de vishing qui propose des modèles d’emails adaptés aux marques, une personnalisation par cible, ainsi que des mécanismes de spoofing pour donner l’illusion que le message provient d’un expéditeur de confiance.
Lors de leur analyse, les experts ont remarqué qu’ATHR pouvait cibler huit services en ligne : Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo et AOL.
L’attaque débute lorsque la victime reçoit un email conçu pour passer des vérifications de sécurité banales et même des authentifications techniques.
Selon le rapport d’Abnormal, « l’appât est généralement une alerte de sécurité ou une notification de compte factice, suffisamment urgente pour inciter à un appel mais assez générique pour ne pas déclencher de filtres de contenu ».
Appeler le numéro indiqué dans l’email redirige la victime à travers Asterisk et WebRTC vers des agents vocaux IA guidés par des prompts élaborés qui escortent la victime tout au long du processus de vol de données.
Les agents suivent un script en plusieurs étapes imitant un incident de sécurité. Pour les comptes Google, ils reproduisent la procédure de récupération et de vérification de compte, utilisant des prompts prédéfinis qui modulent leur ton, approche et comportement pour imiter un personnel de support professionnel.
Source : Abnormal
Le but de ce processus factice est d’extraire un code de vérification à six chiffres permettant à l’attaquant d’accéder au compte de la victime.
Bien qu’ATHR offre la possibilité de rediriger l’appel vers un opérateur humain, c’est l’utilisation d’un agent IA qui le distingue des autres opérations.
Le tableau de bord d’ATHR permet aux opérateurs de contrôler l’ensemble du processus et d’accéder à des données en temps réel pour chaque attaque visant une cible.
Source : Abnormal
Les chercheurs d’Abnormal avertissent qu’ATHR réduit considérablement l’effort manuel requis pour l’opérateur et fournit aux acteurs malveillants une plateforme intégrée capable de gérer toutes les étapes d’une attaque TOAD sans nécessiter de configuration d’éléments individuels.
Cela permet à des attaquants moins techniciens, sans infrastructure, de déployer des attaques de vishing automatisées de bout en bout.
Le passage d’une opération fragmentée et manuelle à un système automatisé et produit signifie que les attaques TOAD ne nécessitent plus de larges équipes ou d’infrastructures spécialisées, mettent en garde les chercheurs d’Abnormal.
Avec l’émergence de plateformes de cybercriminalité similaires à ATHR, les chercheurs s’attendent à une augmentation des attaques de vishing, rendant ces communications de plus en plus difficiles à différencier des messages légitimes.
La défense contre de telles attaques requiert une approche différente, étant donné que les emails piégeurs ne montrent aucun indicateur fiable, sont personnalisés pour valider correctement et apparaissent comme des notifications valides.
Cependant, la détection est possible en examinant les schémas de comportement de communication entre un expéditeur et un destinataire, et en identifiant si des leurres similaires contenant un numéro de téléphone ont atteint l’organisation dans un court laps de temps.
Les chercheurs d’Abnormal suggèrent que le modélisation du comportement de communication normal dans l’organisation peut aider une détection basée sur l’IA à signaler des anomalies avant que les cibles n’effectuent un appel.