L'équipe d'analyse ASEC a détecté de nombreux e-mails de phishing distribués avec une icône changeant pour refléter le service de compte e-mail saisi par l'utilisateur. L'acteur de la menace a utilisé la fonction favicon prise en charge par Google.

En général, l'adresse électronique de l'utilisateur est complétée automatiquement, de sorte que l'utilisateur n'a plus qu'à saisir son mot de passe. Toutefois, ce cas de phishing exigeait que les utilisateurs saisissent également leur adresse électronique.

Le 16 janvier 2023, un courriel de phishing a été envoyé aux utilisateurs les avertissant que leur compte serait fermé s'ils ne cliquaient pas sur le lien "Réactiver maintenant".

Selon le type de service de messagerie indiqué derrière "@", l'icône de la page de phishing change si vous saisissez l'adresse de site Web souhaitée sous l'URL fournie.

Les informations d'identification du compte saisies sur la page de phishing ont été envoyées à un C2 dont l'adresse était le même domaine qu'une campagne précédente observée par les chercheurs.

Cela a conduit à l'hypothèse que le même acteur de la menace a mené la dernière campagne.

Les utilisateurs doivent être prudents, les attaques de phishing évoluent et deviennent de plus en plus sophistiquées, ce qui en fait une menace sérieuse pour les organisations. Ces attaques ne se limitent pas aux employés qui ont accès à des informations sensibles, mais peuvent également être utilisées par les attaquants pour accéder aux réseaux d'entreprise. Il s'agit d'une préoccupation majeure pour les organisations, car les conséquences d'une attaque peuvent être dévastatrices et exigent des défenses proactives en matière de cybersécurité.