Connectez-vous avec nous

Ordinateurs et informatique

L'escroquerie de phishing de Norton LifeLock infecte les victimes avec un cheval de Troie d'accès à distance

Les cybercriminels derrière une récente campagne de phishing ont utilisé un faux document Norton LifeLock afin d'inciter les victimes à installer un cheval de Troie d'accès à distance (RAT) sur leurs systèmes.

L'infection commence par un document Microsoft Word contenant des macros malveillantes. Cependant, pour obliger les utilisateurs à activer les macros, qui sont désactivées par défaut, l'acteur de menace derrière la campagne a utilisé un faux document Norton LifeLock protégé par mot de passe.

Les victimes sont invitées à activer les macros et à saisir un mot de passe, fourni dans l'e-mail de phishing contenant le document, pour y accéder. Palo Alto Networks » L'unité 42, qui a découvert la campagne, a également constaté que la boîte de dialogue de mot de passe n'accepte qu'une lettre supérieure ou minuscule «C». Si le mot de passe est incorrect, l'action malveillante ne se poursuit pas.

Si l'utilisateur saisit le mot de passe correct, la macro continue de s'exécuter et crée une chaîne de commande qui installe le logiciel de contrôle à distance légitime, NetSupport Manager.

Établir la persistance

Le fichier binaire RAT est téléchargé et installé sur la machine d'un utilisateur à l'aide de la commande «msiexec» du service Windows Installer.

Dans un nouveau rapport, les chercheurs de l'unité 42 de Palo Alto Networks ont expliqué que la charge utile MSI s'installe sans aucun avertissement et ajoute un script PowerShell dans le dossier temporaire de Windows. Il est utilisé pour la persistance et le script joue le rôle d'une solution de sauvegarde pour l'installation de NetSupport Manager.

Avant de poursuivre ses opérations, le script vérifie si un antivirus Avast ou AVG est installé sur le système. Si tel est le cas, il cesse de fonctionner sur l'ordinateur de la victime. Si le script constate que ces programmes ne sont pas présents sur la machine, il ajoute les fichiers nécessaires b NetSupport Manager à un dossier avec un nom aléatoire et crée également une clé de registre pour l'exécutable principal nommé 'presentationhost.exe' pour la persistance.

L'unité 42 a découvert la campagne pour la première fois début janvier et les chercheurs ont suivi l'activité connexe jusqu'en novembre 2019, ce qui montre que la campagne fait partie d'une opération plus vaste.

Via BleepingComputer

Les offres de produits Hi-tech en rapport avec cet article

Autres articles en relation:

Des pirates informatiques infectent d'autres pirates avec un cheval de Troie d'accès à distance Ce méchant cheval de Troie Android vous trompe avec une fausse page Google Play Store Ce cheval de Troie non signalé a réussi à voler 1,2 To de données personnelles Non, vous n’avez pas été invité à rejoindre Clubhouse – c’est un cheval de Troie Android De faux messages VPN utilisés pour attirer les victimes de phishing d'Office 365 Des entreprises de services publics américaines victimes d'une attaque de phishing par harponnage parrainée par l'État Ce sont les personnes les plus susceptibles d’être victimes d’une attaque de phishing Une opération infecte sans discernement les iPhones avec des logiciels espions
Sujets connexes :
Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES