Selon une nouvelle étude de Microsoft, les cybercriminels ont commencé à tirer parti des formulaires de contact du site Web pour fournir des logiciels malveillants et le cheval de Troie bancaire IcedID à des employés d’entreprise sans méfiance.
L’équipe Microsoft 365 Defender Threat Intelligence a suivi une nouvelle campagne dans laquelle les attaquants abusent de l’infrastructure légitime, y compris les formulaires de contact de site Web et les URL Google pour contourner les filtres de sécurité des e-mails.
Selon Microsoft, ces attaques commencent par des e-mails contenant des menaces juridiques affirmant que le destinataire aurait utilisé ses images ou illustrations sans son consentement et qu’une action en justice sera intentée contre eux. Ces e-mails créent un sentiment d’urgence car les destinataires voudront probablement éviter d’être poursuivis et le lien site.google.com utilisé par les attaquants rend leurs menaces plus légitimes.
Après avoir découvert la campagne, Microsoft a contacté l’équipe de sécurité de Google qui étudie déjà la question.
Sommaire
Logiciel malveillant IcedID
Si un employé ciblé décide d’enquêter davantage sur le contenu de l’un des e-mails de la campagne et de cliquer sur le lien site.google.com, la page télécharge automatiquement un fichier ZIP contenant un fichier JavaScript qui télécharge le logiciel malveillant IcedID sous forme de fichier .DAT. Cependant, un composant du kit de test de pénétration Cobalt Strike est également téléchargé et cela permet aux cybercriminels derrière la campagne de contrôler l’appareil d’un utilisateur sur Internet.
Emily Hacker et Justin Carrol de Microsoft ont fourni des informations supplémentaires sur cette nouvelle campagne dans un article de blog, en disant:
«Bien que cette campagne spécifique délivre le malware IcedID, la méthode de diffusion peut être utilisée pour distribuer un large éventail d’autres malwares, qui peuvent à leur tour introduire d’autres menaces pour l’entreprise. IcedID lui-même est un cheval de Troie bancaire qui a évolué pour devenir un point d’entrée pour des menaces plus sophistiquées, y compris les ransomwares à commande humaine. Il se connecte à un serveur de commande et de contrôle et télécharge des implants et des outils supplémentaires qui permettent aux attaquants d’effectuer des attaques au clavier, de voler des informations d’identification et de se déplacer latéralement sur les réseaux affectés pour fournir des charges utiles supplémentaires. »
Comme cette nouvelle campagne est capable de diffuser un large éventail de logiciels malveillants, les employés doivent être à l’affût de tout e-mail suspect affirmant qu’ils enfreignent les droits d’auteur. Ils doivent également éviter de cliquer sur les liens contenus dans les e-mails d’expéditeurs inconnus.
Via ZDNet
