Posté le mars 29, 2022 à 11:44
DES HACKERS DÉTOURNENT DES CONVERSATIONS DANS UNE NOUVELLE CAMPAGNE DE PHISHING
Les campagnes d’hameçonnage par e-mail sont devenues très populaires parmi les hackers. Les campagnes de phishing sont menées par des hackers pour accéder aux appareils des utilisateurs et voler des informations sensibles.
Dans la campagne de phishing récemment détectée, les hackers utilisaient une technique de détournement de conversations pour diffuser le logiciel malveillant IcedID qui vole des informations. Ce logiciel malveillant a ensuite été déployé dans les appareils infectés par le biais de serveurs Microsoft Exchange non corrigés et exposés au public.
Des hackers lancent une nouvelle campagne de phishing
Intezer, une société basée en Israël, a révélé les détails de cette nouvelle campagne de phishing. Dans cette nouvelle campagne, les hackers mettent l’accent sur la crédibilité pour inciter les personnes ciblées à ouvrir les pièces jointes.
« Les e-mails utilisent une technique d’ingénierie sociale de détournement de conversation (également connu sous le nom de thread hijacking). Une fausse réponse à un précédent e-mail volé est utilisée pour convaincre le destinataire d’ouvrir la pièce jointe. Cette technique est remarquable car elle augmente la crédibilité de l’e-mail de phishing et peut entraîner un taux d’infection élevé », indique le rapport d’Intezer.
Ces campagnes de phishing ciblent les organisations qui opèrent dans des secteurs critiques tels que l’énergie, la santé, le droit et le secteur pharmaceutique. La dernière vague de campagnes de phishing par e-mail utilisant cette technique et ciblant lesdites organisations a été détectée à la mi-mars 2022.
IcedID, également connu sous le nom de BokBot, est un cheval de Troie bancaire qui fonctionne de manière similaire à TrickBot et Emotet. L’utilisation de ce cheval de Troie bancaire a considérablement évolué et il est désormais adopté comme point d’entrée pour lancer des menaces sophistiquées. Parmi les attaques menées à l’aide de ce logiciel malveillant, citons l’outil de simulation d’adversaires Cobalt Strike et le ransomware à commande humaine.
IcedID a beaucoup de potentiel, d’où son utilisation croissante par les cybercriminels. IcedID peut être utilisé pour se connecter à un serveur distant, puis télécharger les implants et outils de l’étape suivante. L’attaquant utilise ensuite ces fonctionnalités pour mener des activités de suivi et gagner en liberté de mouvement sur les réseaux affectés. Il peut ainsi distribuer davantage de logiciels malveillants via un seul point d’entrée.
Ce n’est pas la première fois que cette forme d’attaque est détectée et signalée. En juin de l’année dernière, Proofpoint, une organisation de cybersécurité, a signalé une nouvelle technique utilisée par les cybercriminels, où les courtiers d’accès initial étaient utilisés pour infiltrer les réseaux ciblés. Ces courtiers accédaient à ces réseaux en utilisant des charges utiles de logiciels malveillants de première étape tels qu’IcedID pour déployer les charges utiles des ransomwares Egregor, Maze et REvil.
Les campagnes de phishing exploitent les serveurs Microsoft Exchange vulnérables
La version actuelle d’IcedID est différente. Auparavant, les campagnes IcedID ciblaient les formulaires de contrat des sites Web pour envoyer des liens vers des logiciels malveillants aux organisations ciblées. Avec la version actuelle des campagnes IcedID, les attaquants exploitent des serveurs Microsoft Exchange vulnérables.
« La majorité des serveurs Exchange d’origine que nous avons observés semblent également être non patchés et exposés publiquement, ce qui fait du vecteur ProxyShell une bonne théorie. Alors que la plupart des serveurs Exchange utilisés pour envoyer les e-mails de phishing sont accessibles à tous sur Internet, nous avons également vu un e-mail de phishing envoyé en interne sur ce qui semble être un serveur Exchange « interne » », ajoute le rapport.
Les serveurs sont exploités pour envoyer des e-mails malveillants à partir d’un compte qui a déjà été détourné. Il s’agit d’une évolution notable par rapport à la manière dont les opérations IcedID étaient menées auparavant.
Les chercheurs en cybersécurité Joakim Kennedy et Ryan Robinson ont commenté l’évolution de la situation en déclarant : » La charge utile a également abandonné l’utilisation de documents Office au profit de l’utilisation de fichiers ISO avec un fichier Windows LNK et un fichier DLL. L’utilisation de fichiers ISO permet à l’acteur de contourner les contrôles Mark-of-the-Web, ce qui entraîne l’exécution du logiciel malveillant sans avertissement pour l’utilisateur. »
Ces attaques étaient menées pour garantir la crédibilité des destinataires de ces e-mails. Le logiciel malveillant était distribué sous la forme d’une réponse frauduleuse à un message électronique existant. Le fil de discussion existait déjà chez les victimes ciblées. Pour que l’e-mail semble authentique, les chercheurs ont envoyé ces réponses en utilisant l’adresse e-mail réelle de la personne compromise.
Les chercheurs ont conclu que « l’utilisation du détournement de conversation est une technique d’ingénierie sociale puissante qui peut augmenter le taux de réussite d’une tentative de phishing. La charge utile a été déplacée des documents de bureau vers l’utilisation de fichiers ISO, employant l’utilisation de packers de commodité et de multiples étapes pour cacher l’activité. Il est important de pouvoir détecter les fichiers malveillants en mémoire pour détecter ce type d’attaque. »
