Posté le octobre 31, 2021 à 14:39
DES HACKERS SE SERVENT DU THÈME SQUID GAME COMME LEURRE POUR IMPLANTER LE LOGICIEL MALVEILLANT DRIDEX
Un groupe de hackers renommé TA575 a été découvert en train de cibler les principales industries américaines par le biais d’emails sur le thème du Squid Game avec des pièces jointes.
D’après le rapport, les acteurs de la menace font croire que les courriels proviennent de Netflix et prétendent fournir un accès anticipé à la dernière saison de l’émission. Les hackers demandent aux cibles de remplir des informations ou d’ouvrir une pièce jointe.
Les e-mails sont envoyés avec pour objet « Squid Game is back, watch new season before anyone else » (Squid Game est de retour, regardez la nouvelle saison avant tout le monde).
La société de cybersécurité Proofpoint a expliqué qu’elle a découvert que le groupe de cybercriminels très technique a profité de la popularité du film à succès « Squid Game » de Netflix pour tromper les victimes et diffuser le logiciel malveillant Dridex.
Le groupe utilisait différents en-têtes de mail pour tromper les victimes
La société de sécurité a également déclaré que TA575 envoyait des e-mails à ses cibles en se faisant passer pour une personne travaillant sur l’émission.
Le groupe de hackers a également utilisé d’autres titres tels que « Programme de Squid Game, programme des publicités, programme des acteurs de talent » et « Invitation pour les clients à accéder à la nouvelle saison ».
Proofpoint a également indiqué avoir découvert des milliers d’e-mails qui utilisent cette stratégie de leurre pour cibler plusieurs industries aux États-Unis.
Ils envoient des pièces jointes avec les e-mails. Une fois que la cible a été trompée et télécharge la pièce jointe, le cheval de Troie bancaire Dridex est immédiatement transmis au système de l’utilisateur.
Le vice-président de la détection et de la réponse aux menaces chez Proofpoint, Sherrod DeGrippo, a déclaré que Dridex est un cheval de Troie bancaire utilisé par les acteurs de la menace pour voler des fonds directement sur le compte de la victime.
Outre son utilisation principale, le cheval de Troie est également utilisé comme chargeur de logiciels malveillants qui peut aider les hackers à réaliser des infections de suivi comme une attaque par ransomware. Cela signifie que Dridex peut être utilisé pour recueillir des informations auprès des utilisateurs et les utiliser pour lancer une attaque par ransomware.
Proofpoint suit le groupe TA575 depuis l’année dernière. Les chercheurs de l’équipe de sécurité ont noté que les hackers distribuent généralement Dridex via des fichiers protégés par un mot de passe, des pièces jointes Microsoft Office et des URL malveillantes.
Le groupe exploite des pans entiers des serveurs Cobalt Strike
Les hackers utilisent différentes stratégies pour inciter les victimes à télécharger des documents ou à cliquer sur les liens. D’après leurs recherches, le groupe envoie des milliers d’e-mails lors d’une seule campagne, ce qui a un impact sur des centaines d’organisations. Ils utilisent également le réseau de diffusion de contenu (CDN) Discord pour héberger et distribuer Dridex.
Selon les chercheurs de Proofpoint, les cybercriminels utilisent de plus en plus Discord comme un service d’hébergement de logiciels malveillants.
ThreatModeler, expert en cybersécurité et directeur général d’Archie Agarwal, a commenté les activités des hackers. Il a noté que le groupe est composé d’opportunistes prolifiques et hautement techniques spécialisés dans le logiciel malveillant Dridex. Il a déclaré que les hackers exploitent également des pans entiers des serveurs Cobalt Strike.
Le groupe de menace utilise diverses méthodes d’attaque
Les serveurs Cobalt Strike et le logiciel malveillant Dridex sont des exemples de la façon dont les hackers peuvent réutiliser le travail des autres. Selon Agarwal, bien que les hackers aient été découverts récemment, le cheval de Troie Dridex remonte à 2015, lorsqu’il était populaire pour traiter le vol de coordonnées bancaires.
Hank Schless, directeur principal des solutions de sécurité chez Lookout, a déclaré que les hackers ont utilisé plusieurs méthodes d’attaque pour voler des données sensibles tout au long de la pandémie de Covid-19. Il a ajouté que ces groupes utilisent plusieurs crochets liés à l’aide gouvernementale ou aux vaccins pour tromper les victimes et leur faire installer à leur insu des pièces jointes malveillantes.
Lookout a également révélé que les hackers ciblent activement les utilisateurs via les canaux mobiles en utilisant les applications de rencontres, les jeux, les applications de médias sociaux, les applications de messagerie tierces et les SMS. Et l’un des éléments les plus intéressants de ces données est le fait que le groupe de hackers TA575 utilise le CDN de Discord pour héberger et implanter le logiciel malveillant.
Lookout a noté que la pratique est très courante, car les acteurs hackers utilisent des services légitimes comme serveur intermédiaire de commande et de contrôle. L’équipe de recherche a déclaré que cette stratégie est fréquemment observée avec des plateformes de stockage de données telles que Dropbox. Lookout a noté que les hackers, en général parce que cela les aide à se cacher de toute détection, en particulier lorsque le trafic semble légitime.
