Les chercheurs en sécurité ont découvert une nouvelle escroquerie par phishing qui incite les utilisateurs à ouvrir un document Excel malveillant en prétendant offrir leurs résultats de test VIH.
Les campagnes de phishing ont connu une énorme augmentation au cours de l'année écoulée, les escrocs derrière eux ayant commencé à utiliser de nouvelles tactiques pour inciter les utilisateurs à tomber dans le piège de leurs stratagèmes.
Cette fois, cependant, ils ont peut-être poussé les choses trop loin que les chercheurs de Proofpoint a observé des escrocs envoyant des e-mails de phishing avec des feuilles de calcul Excel malveillantes prétendant être les résultats des tests HIT des patients de l'Université Vanderbilt.
Alors que ceux qui sont plus attentifs peuvent remarquer que le nom de l'université est mal orthographié dans le contact de l'e-mail comme "Vanderbit", la plupart des utilisateurs ne le feront probablement pas car le reste de l'e-mail de phishing semble provenir directement de l'université.
Sommaire
Fichier Excel malveillant
Les e-mails de phishing envoyés dans la campagne contiennent tous une pièce jointe nommée «TestResults.xlsb» qui oblige les utilisateurs à «Activer le contenu» pour afficher leurs résultats de test.
Si un utilisateur décide d'activer le contenu, des macros malveillantes sont alors exécutées qui téléchargent et installent le test de pénétration Koadic et la boîte à outils de post-exploitation.
Grâce à Koadic, les attaquants peuvent obtenir un contrôle total sur l'ordinateur infecté et à partir de là, ils peuvent exécuter n'importe quelle commande qu'ils souhaitent pour télécharger des logiciels malveillants supplémentaires ou voler des fichiers de la machine.
Dans un article de blog, Sherrod DeGrippo, directeur principal de la recherche et de la détection des menaces chez Proofpoint, a fourni des informations supplémentaires sur la façon dont les cybercriminels utilisent maintenant les leurres liés à la santé pour inciter les utilisateurs à tomber dans l'escroquerie par phishing dans un article de blog, en disant:
"Cette dernière campagne nous rappelle que les leurres liés à la santé n'ont pas démarré et ne s'arrêteront pas avec les leurres récents sur le thème du coronavirus que nous avons observés. C'est une tactique constante car les attaquants reconnaissent l'utilité du «facteur de peur» lié à la santé. Nous encourageons les utilisateurs à traiter les courriels liés à la santé avec prudence, en particulier ceux qui prétendent avoir des informations sensibles sur la santé. Les informations sensibles sur la santé sont généralement transmises en toute sécurité à l'aide de portails de messagerie sécurisés, par téléphone ou en personne. Si vous recevez un e-mail qui prétend contenir des informations sensibles sur la santé, n'ouvrez pas les pièces jointes. Au lieu de cela, visitez directement le portail des patients de votre fournisseur de soins médicaux, appelez votre médecin ou prenez rendez-vous pour confirmer directement tout diagnostic médical ou résultat de test. »
Via BleepingComputer
