Posté le mai 25, 2021 à 17:25
MICROSOFT MET EN GARDE CONTRE LES HACKERS QUI VOLENT LES MOTS DE PASSE DES UTILISATEURS DANS LE CADRE D’UNE CAMPAGNE DE RANSOMWARE
Microsoft a mis en garde contre une campagne massive d’e-mails utilisant le logiciel malveillant STRRAT pour obtenir des données sensibles des utilisateurs. Selon le rapport, la campagne d’e-mails se fait passer pour une attaque de ransomware.
L’unité de cybersécurité du géant technologique a fait état des activités du logiciel malveillant et a ajouté que STRRAT, basé sur Java, ajoute des noms de fichiers .crimson sans même les crypter.
Le logiciel malveillant collecte les mots de passe et enregistre les frappes au clavier
Selon Microsoft, les acteurs malveillants lancent l’attaque en utilisant des spams récupérés sur des comptes compromis.
Les e-mails contiennent l’objet suivant : « Paiements sortants ». Ils incitent ensuite les utilisateurs à ouvrir le fichier, qui contient un logiciel malveillant.
Le fichier PDF indique qu’il s’agit d’un détail de transaction. En réalité, il s’agit d’un domaine qui télécharge le logiciel malveillant STRRAT.
Une fois le logiciel malveillant téléchargé, il se connecte au serveur C2 (commande et contrôle) des acteurs malveillants et commence à lancer des opérations de logiciels malveillants.
L’équipe de cybersécurité de Microsoft a décrit les activités analytiques du logiciel malveillant, précisant qu’il collecte les mots de passe, enregistre les frappes au clavier et exécute des scripts PowerShell ainsi que des commandes à distance.
Le logiciel malveillant a été initialement détecté en juin de l’année dernière après que la société de cybersécurité G Data a découvert un logiciel malveillant Windows basé sur Java dans des e-mails de phishing. Le fichier est une pièce jointe qui peut être téléchargée par des victimes peu méfiantes.
G Data a déclaré que STRRAT a pour priorité de voler les identifiants de messagerie et de navigateur des utilisateurs par keylogging ou enregistrement de frappe. Il est très puissant car il est supporté par des clients de messagerie et des navigateurs tels qu’Outlook, Thunderbird, Foxmail, Chrome, Internet Explorer et Firefox.
Les capacités du logiciel malveillant sont encore à un niveau rudimentaire
Selon Microsoft, les capacités du logiciel malveillant sont encore à un niveau rudimentaire, la phase de cryptage ne permettant que de renommer l’extension .crimson. Les fichiers sont accessibles manuellement si l’extension est supprimée.
Cependant, le faux cryptage est toujours le même, ce qui montre que la campagne cherche peut-être à gagner de l’argent rapidement en extorquant de l’argent à des utilisateurs peu méfiants.
Mais selon Microsoft, le groupe malveillant qui exploite STRRAT améliore constamment les capacités du logiciel malveillant. Ainsi, la récente version 1.5 est plus avancée et plus modulaire que les versions précédentes.
Le logiciel malveillant STRRAT, basé sur Java, distrait les victimes en agissant comme un ransomware tout en créant une porte dérobée dans les systèmes infectés.
Selon les chercheurs, la version la plus récente du logiciel malveillant est « notablement plus obscurcie et modulaire que les versions précédentes ».
Le logiciel malveillant ajoute l’extension de nom de fichier .crimson et dissimule le fait que l’ordinateur a été infecté par un cheval de Troie d’accès à distance.
Les acteurs malveillants sont toujours occupés à répandre le logiciel malveillant STRRAT, ce qui indique que les criminels tentent toujours d’infecter d’autres ordinateurs avec le virus.
Compte tenu de la manière dont le logiciel malveillant a réussi à accéder aux noms d’utilisateur et aux mots de passe des victimes, les personnes dont les comptes ont été compromis risquent de voir leurs comptes de messagerie utilisés de manière abusive par les acteurs malveillants à l’avenir. Les chercheurs en sécurité affirment qu’ils pourraient être victimes d’autres exploitations d’e-mails de phishing utilisant le logiciel malveillant STRRAT.
Comment éviter d’être victime
La campagne de logiciels malveillants reposant sur le phishing, les utilisateurs ont été informés des mesures à prendre pour éviter d’être victimes de cette attaque. Ils doivent être vigilants face aux messages inhabituels ou inattendus, en particulier ceux qui semblent offrir des incitations financières. Ils doivent également être prudents lorsqu’ils ouvrent des courriels et des pièces jointes provenant d’adresses électroniques étranges.
Il est également très utile d’installer un logiciel antivirus puissant pour identifier les menaces et empêcher les courriels malveillants d’accéder aux boîtes de réception. Cela élimine le risque que l’utilisateur ouvre le message en cliquant sur le lien pour activer le logiciel malveillant.
Les utilisateurs ont également été invités à se méfier des réponses à des messages proposant des promotions, même s’ils semblent authentiques. Les acteurs malveillants sont passés maîtres dans l’art de cloner des sites Web populaires et de faire en sorte que les faux sites paraissent authentiques. S’ils sont incités à cliquer sur le lien du site, le logiciel malveillant peut s’introduire dans leur système. Ils doivent plutôt utiliser la barre d’adresse du navigateur pour taper le nom du site Web et confirmer les informations qu’ils reçoivent.