Trois entités américaines du secteur des services publics ont été ciblées par une campagne de spear-phishing utilisant un nouveau logiciel malveillant comprenant un module RAT (Remote Access Trojan) dans le but de donner aux attaquants le contrôle administrateur des systèmes infectés.
Le nouveau malware appelé LookBack a été découvert par les chercheurs de l'équipe Threat Insight de Proofpoint après avoir analysé les attaques de phishing et leurs charges utiles malveillantes.
Dans un article de blog détaillant leur découverte, les chercheurs ont expliqué comment les courriels de phishing personnifiaient l'identité d'un conseil de licences d'ingénierie basé aux États-Unis pour qu'il apparaisse comme des courriels légitimes.
«Les e-mails de phishing semblaient emprunter l'identité d'un conseil de licences d'ingénierie basé aux États-Unis, avec des e-mails provenant de ce qui semble être un domaine contrôlé par un acteur.[.]com. Nesse[.]On pense que com est une usurpation d'identité d'un domaine appartenant au Conseil national des examinateurs en ingénierie et en arpentage des États-Unis. Les e-mails contiennent une pièce jointe Microsoft Word malveillante utilisant des macros pour installer et exécuter des programmes malveillants que les chercheurs de Proofpoint ont baptisés «LookBack».
Sommaire
LookBack malware
Les e-mails de phishing, reçus par les services publics les 19 et 25 juillet, ont tous été envoyés par ncess.com, contrôlée par les attaquants, mais Proofpoint a également découvert qu’ils usurpaient l’identité de plusieurs autres organismes américains de licences de génie et de licences électriques dotés de domaines frauduleux. Comme un seul des domaines a été utilisé lors de ces récentes attaques de spear-phishing, il est très probable que d'autres campagnes utilisant des tactiques similaires soient lancées à l'avenir.
Le malware éliminé par la campagne de phishing est un cheval de Troie à accès distant développé en C ++ qui permettrait aux attaquants de prendre le contrôle intégral des machines compromises une fois qu’elles ont été infectées.
Selon Proofpoint, le cheval de Troie d'accès à distance LookBack aiderait les attaquants à énumérer des services, afficher des données de processus, système et fichier, supprimer des fichiers et exécuter des commandes, réaliser des captures d'écran, déplacer et cliquer avec la souris. Il pourrait même redémarrer l'ordinateur et se supprimer lui-même. un hôte infecté.
Le malware LookBack contenait également plusieurs composants, dont un outil proxy de commande et de contrôle appelé GUP, un chargeur de malware, un module de communication et un composant de cheval de Troie à accès distant.
Proofpoint a également noté que l'attaque de spear-phishing lancée contre les services publics américains pourrait être l'œuvre d'acteurs de menace persistante avancée (APT) parrainés par l'État en raison de chevauchements avec d'autres campagnes historiques et macros utilisées.
Via l'ordinateur de saignement
