Posté le avril 13, 2021 à 19:47
DES ATTAQUANTS PROPAGENT DES CHEVAUX DE TROIE ICEDID EN UTILISANT DES URL GOOGLE ET DES FORMULAIRES WEB
Microsoft a découvert que certains acteurs malveillants diffusent les chevaux de Troie bancaires IcedID, qui volent des informations, en utilisant les formulaires de contact des sites Web des entreprises. Selon l’avertissement, les attaquants contournent les filtres anti-spam en soumettant des formulaires de contact en ligne.
Les acteurs malveillants utilisent également les URL de Google pour diffuser le cheval de Troie, selon les chercheurs de Microsoft.
Les messages mentionnent continuellement la violation des droits d’auteur par un designer, un illustrateur ou un photographe. Ils contiennent prétendument des liens « prouvant » les infractions légales. Mais en réalité, le lien renvoie directement à la page Google qui télécharge IcedID, un chargeur et un voleur d’informations pour d’autres logiciels malveillants.
Les messages utilisent un langage urgent et fort, pressant le destinataire d’agir rapidement et le convaincant de cliquer sur la prétendue action en justice.
Les chercheurs de Microsoft ont découvert que les acteurs malveillants utilisaient de faux noms commençant par « Mel », tels que « Meleena » ou « Melanie » pour tromper les utilisateurs.
Les liens redirigent les victimes vers la page sites.google.com qui les invite à se connecter à la page. Une fois l’utilisateur connecté, un fichier .ZIP malveillant est automatiquement téléchargé. Il contient des fichiers .JS décompressés qui sont fortement obscurcis, selon les chercheurs.
Ils ajoutent que le fichier .JS est exécuté via WScript, qui génère un objet shell qui délivre PowerShell et télécharge la charge utile de IcedID sous la forme d’un fichier .DAT.
Ce fichier contient une balise Cobalt Strike qui ressemble à une DLL non programmée, ce qui permet aux acteurs malveillants de contrôler à distance le système de l’utilisateur. Cobalt Strike fournit généralement des balises pour la détection de failles dans le réseau. Lorsqu’il est utilisé à bon escient, il peut déclencher une attaque. Mais les hackers profitent désormais de sa facilité d’utilisation et la retournent contre les réseaux.
Les acteurs malveillants ont également fourni des charges utiles secondaires
Selon l’analyse de Microsoft, le fichier . DAT téléchargé est chargé par l’intermédiaire de l’exécutable rundll32. Une fois le téléchargement terminé, il établit différentes commandes de collecte d’informations, notamment la livraison de SQLite pour accéder aux bases de données bancaires, l’obtention de détails sur le système et le domaine, et l’obtention des adresses IP des cibles.
Lorsqu’il est exécuté, IcedID se connecte à un serveur de commande et de contrôle (C2) qui télécharge des modules permettant de capturer et d’exfiltrer les informations d’identification bancaires ainsi que d’autres informations, indique Microsoft.
En programmant des tâches, il atteint la persistance et télécharge des implants tels que Cobalt Strike et d’autres outils, ce qui permet aux attaquants à distance d’exécuter des codes malveillants sur le système compromis.
Les chercheurs de Microsoft ont également noté que le cheval de Troie permet aux acteurs malveillants de déposer des charges utiles secondaires, de se déplacer dans le système à la recherche de données importantes et de collecter des informations d’identification supplémentaires.
La campagne a également organisé une campagne d’attaque secondaire, que les acteurs malveillants veulent utiliser au cas où la page originale sites.google serait retirée.
Les cibles sont dirigées vers le domaine principal dans la chaîne secondaire. En outre, les chercheurs ont révélé la présence de liens sites.google malveillants dans les formulaires remis aux utilisateurs, ce qui permet de télécharger le logiciel malveillant IcedID.
Les campagnes d’ingénierie sociale en augmentation
La méthode d’ingénierie sociale est encore une fois en jeu. Dans ce cas, les attaquants ont utilisé des formulaires sur des sites web pour permettre à la campagne de passer à travers les filtres anti-spam des emails, selon les chercheurs.
L’e-mail malveillant semble particulièrement authentique, ce qui permet de convaincre plus facilement l’utilisateur. Il semble digne de confiance car il a été envoyé directement à partir de véritables systèmes de marketing par courriel, ce qui permet d’échapper plus facilement à la détection.
« Les modèles d’e-mails correspondent à ce qu’ils pourraient attendre d’une interaction ou d’une demande de renseignements avec un client », ont déclaré les chercheurs.
En outre, l’utilisation de demandes de connexion et d’une page Google a permis aux acteurs malveillants d’échapper à la détection.
D’autres activités de la campagne IcedID ont été récemment observées par les chercheurs, et cela s’ajoute au nombre croissant de campagnes de ce type.
La semaine dernière, les chercheurs d’Uptycs ont signalé qu’ils avaient découvert une série de campagnes d’e-mails utilisant des pièces jointes fichiers Excel de Microsoft. D’autres campagnes similaires utilisent également différents types de méthodes d’ingénierie sociale pour tromper leurs victimes et échapper à la détection.
Les chercheurs en sécurité ont mis en garde contre l’efficacité de ces campagnes, car les antivirus et les logiciels malveillants ne parviennent que rarement à les arrêter. Par conséquent, les utilisateurs sont invités à protéger leurs systèmes en restant vigilants et en refusant d’ouvrir les liens.
Les chercheurs en sécurité ont conseillé aux utilisateurs de taper plutôt l’adresse du site pour vérifier son authenticité, même s’ils ont l’impression qu’il s’agit d’un site authentique.
