Après une tournée en Europe, une nouvelle campagne de phishing est arrivée aux États-Unis et les assaillants qui le suivent imitent le système postal américain dans le but d'infecter les ordinateurs des utilisateurs avec un cheval de Troie bancaire, selon une nouvelle étude de Proofpoint.
En novembre, des chercheurs de la société de cybersécurité ont observé des milliers de courriers électroniques essayant de déployer des pièces jointes Microsoft Word malveillantes aux États-Unis. Ces courriers électroniques imitaient des messages du service postal américain dans le cadre d'une campagne visant à infecter des ordinateurs avec le cheval de Troie bancaire IcedID.
Cependant, la campagne découverte par Proofpoint ne cible pas les sociétés financières et vise plutôt les entreprises du secteur de la santé. Les courriels de phishing utilisés dans la campagne contiennent un document Word illicite qui, une fois ouvert, déclenche une macro Microsoft Office qui lance un script PowerShell pour télécharger et installer IcedID sur l'ordinateur d'un utilisateur.
Sommaire
Campagne de phishing
Les États-Unis sont la dernière cible de la campagne après que Proofpoint ait observé le même acteur menaçant des entreprises allemandes en imitant le ministère fédéral allemand de la France. L'attaquant derrière la campagne a également utilisé l'outil de test d'intrusion disponible dans le commerce, Cobalt Strike, pour déployer ses charges utiles malveillantes.
Les chercheurs de la société ont analysé plus de 5 milliards de messages électroniques, des millions de publications sur les réseaux sociaux et plus de 250 millions d'échantillons malveillants chaque jour.
Proofpoint a analysé un certain nombre de caractéristiques, notamment l’infrastructure, les styles d’attrait et le code macro, pour identifier et analyser l’activité de la campagne aux États-Unis. La firme a constaté que les actions en cause n'étaient pas compatibles avec les acteurs de la menace existants, ce qui suggère qu'un nouveau groupe est probablement derrière la campagne.
Christopher Dawson, responsable de l'information sur les menaces chez Proofpoint, a fourni des détails supplémentaires sur le groupe et ses activités malveillantes, en déclarant:
"Bien que ces campagnes soient de petit volume, elles sont actuellement significatives pour leur utilisation abusive de marques de confiance, y compris d'agences gouvernementales, et pour leur expansion relativement rapide dans plusieurs zones géographiques. À ce jour, le groupe semble avoir ciblé des organisations en Allemagne, en Italie, et, plus récemment, aux États-Unis, qui livrent des charges utiles géolocalisées avec des leurres dans les langues locales. Nous suivrons de près ce nouvel acteur, compte tenu de ses aspirations mondiales apparentes, de son ingénierie sociale bien conçue et de son ampleur croissante. "
- Protégez vos appareils des dernières cyber-menaces avec le meilleur logiciel antivirus
Via TechRepublic