Connectez-vous avec nous

Ordinateurs et informatique

Fausses convocations au tribunal utilisées pour propager des logiciels malveillants de phishing

La firme de cybersécurité Cofense a découvert une nouvelle campagne de phishing ciblant les utilisateurs via un courrier électronique sur le thème de la citation à comparaître qui semble provenir du ministère de la Justice du Royaume-Uni avec pour objectif final d'infecter leurs systèmes avec des logiciels malveillants voleurs d'informations.

Les employés des compagnies d’assurance et des détaillants ont reçu ces courriels de phishing indiquant que le destinataire avait été assigné à comparaître et devait cliquer sur un lien contenu dans le courriel pour obtenir plus de détails sur leur cas.

Le lien fourni utilise des sources fiables, notamment Google Docs et Microsoft OneDrive, pour la chaîne d'infection. Bien que le lien Google Docs ne soit pas malveillant, il contient une chaîne de redirection qui mène finalement à un fichier Microsoft Word malveillant rempli de macros. Une fois exécutée, la macro télécharge un échantillon du programme malveillant Predator the Thief par l'intermédiaire de PowerShell.

Le courrier électronique initial contient également un avertissement indiquant que le destinataire dispose de 14 jours pour se conformer à la notification d'assignation, ce qui est une tactique de terreur conçue pour amener les utilisateurs à cliquer sur le lien contenu dans le message.

Prédateur le voleur

Predator the Thief dispose de toutes les fonctionnalités de base de la plupart des voleurs d’informations. Cependant, l’un des avantages uniques de ce logiciel malveillant est le large éventail de navigateurs Web qu’il cible, ce qui signifie que même ceux qui utilisent un navigateur Web moins populaire pourraient toujours être affectés.

Les auteurs du programme malveillant utilisent un canal Telegram pour distribuer leur produit, mais celui-ci fonctionne également comme un canal de support client.

Predator the Thief cible les portefeuilles de crypto-monnaie, les informations de navigateur, les identifiants FTP et e-mail. Le logiciel malveillant prend également une capture d'écran de la machine infectée et cette information est renvoyée à un serveur de commande et de contrôle (C2) via un HTTP POST.

Une fois que les informations sur la cible sont collectées et que l'échantillon a été envoyé au C2, le binaire nettoie ensuite certaines parties de l'infection et se termine automatiquement. Cela rend beaucoup plus difficile la découverte du malware.

Pour éviter d'être victime de cette dernière campagne de phishing, Cofense recommande de désactiver les macros Microsoft par défaut et d'utiliser une protection des terminaux.

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES