Posté le juin 23, 2021 à 16:04
LES HACKERS UTILISENT « BAZACALL » POUR LANCER UNE CAMPAGNE DE LOGICIELS MALVEILLANTS DANS MICROSOFT OFFICE
Microsoft a mis en garde les utilisateurs contre une nouvelle campagne de logiciels malveillants qui utilise de faux centres d’appels et de faux abonnements pour inciter les victimes à télécharger des ransomwares.
Cette mise en garde émane des chercheurs en sécurité de Microsoft, qui ont baptisé la campagne de logiciels malveillants « BazaCall ».
Les chercheurs ont déclaré avoir découvert des « attaques menées par des humains et le déploiement de ransomwares » qui utilisent des courriels pour tromper leurs cibles et les inciter à passer des appels et à télécharger des logiciels malveillants.
Selon Microsoft, les utilisateurs d’Office sont les plus touchés par cette attaque car les hackers utilisent une feuille de calcul malveillante. Les chercheurs ont averti les utilisateurs qu’ils devaient se méfier de ces ransomwares.
Les attaques commencent par des e-mails de phishing
Selon le rapport, les attaques commencent par l’envoi d’un courriel à la victime qui ne se doute de rien. L’e-mail explique à l’utilisateur que la période d’essai gratuite d’un logiciel donné est terminée et que le paiement de la version payante sera bientôt effectué. L’utilisateur est également informé qu’il a accepté de continuer à utiliser le logiciel et qu’il a déjà fourni les détails du paiement.
Bien que cela ne soit pas vrai, l’intention est d’amener l’utilisateur à prendre les mesures spécifiées dans l’e-mail.
Les acteurs de la menace fournissent généralement un numéro de téléphone pour que l’utilisateur puisse les contacter s’il souhaite annuler l’abonnement ou déposer une plainte.
Alors que l’utilisateur pense appeler un véritable centre d’appels, l’opérateur à l’autre bout du fil lui demande de télécharger une feuille Excel via un lien qu’il lui fournit.
Mais l’utilisateur téléchargera un fichier malveillant, infectant ainsi son système avec un logiciel malveillant.
Le fichier malveillant entre en action lorsque l’utilisateur clique sur la section « Activer le contenu » de la feuille de calcul. Une fois l’action effectuée, le logiciel malveillant BazaLoader est installé et une autre charge utile est téléchargée.
Difficile à identifier par un logiciel de sécurité
L’équipe de renseignement sur les menaces de Microsoft a également déclaré que lorsque les hackers accèdent à l’appareil de l’utilisateur, ils volent les bases de données de l’annuaire actif et les informations d’identification de l’utilisateur. En outre, ils peuvent implanter un ransomware dans le système et demander aux victimes de payer une rançon avant que les données cryptées puissent être débloquées.
Comme l’e-mail ne contient pas de pièces jointes ou de liens malveillants, les logiciels de sécurité ont beaucoup de mal à détecter la menace.
Mais Microsoft a fait remarquer que la visibilité inter-domaines de Microsoft 365 Defender peut offrir une meilleure mesure de protection contre de telles attaques. Elle permet à un point d’extrémité de signaler de fournir des informations importantes à Microsoft Defender pour protéger Office 365 contre les courriels malveillants. Cela fournit une défense complète contre une telle attaque.
Les chercheurs en cybersécurité affirment qu’ils sont désormais à la recherche du groupe criminel qui est actif depuis janvier.
Malgré le système de défense, la meilleure forme de protection contre une telle attaque reste l’utilisation du bon sens et la possession d’une bonne suite de sécurité. Les chercheurs ont conseillé aux utilisateurs de procéder à des vérifications supplémentaires avant de répondre à l’e-mail s’ils ne reconnaissent pas le logiciel mentionné.
De plus, l’adresse électronique de l’expéditeur est vague et suspecte. D’autres personnes ont reçu des courriels similaires et ont découvert qu’ils étaient malveillants. Les chercheurs ont également averti les utilisateurs de ne pas composer le numéro fourni, à moins qu’il ne soit totalement légitime.
Le groupe utilise également la méthode de pénétration de Cobalt Strike
Brad Duncan de Palo Alto Network a fourni un rapport détaillé sur les méthodes des acteurs de la menace dans un billet de blog. Il indique que le logiciel malveillant offre un accès par porte dérobée à un appareil Windows compromis. Lorsque l’appareil est infecté, les hackers utilisent cet accès pour diffuser des logiciels malveillants et exploiter d’autres hôtes sensibles sur le réseau, a déclaré Duncan.
Les chercheurs en sécurité de Microsoft ont également déclaré que le groupe pourrait utiliser la méthode de pénétration de Cobalt Strike pour voler des données personnelles sur l’appareil de la victime. La pénétration est utilisée après une infiltration initiale pour un mouvement latéral sur un réseau. Le groupe vole des informations d’identification qui comprennent également la base de données d’Active Directory (AD). Celle-ci est très importante pour l’organisation victime car elle contient ses informations d’identification et son identité.
Microsoft indique qu’elle continue de suivre la campagne de ransomware BazarCall et a publié les détails de ses découvertes sur une page GitHub destinée au public.
Elle a également fourni des détails sur l’utilisation par les hackers du mouvement latéral de Cobalt Strike et sur les différentes versions d’e-mails de phishing utilisées par les acteurs de la menace.
