Microsoft a observé que le groupe de piratage connu sous le nom de Evil Corp ou TA505 a changé de tactique dans sa campagne de phishing en cours pour livrer des logiciels malveillants en utilisant des documents Excel malveillants.
La société a fourni plus de détails sur la nouvelle campagne dans une série de tweets dans lesquels ses chercheurs ont déclaré que la charge utile finale était désormais fournie en utilisant un document Excel contenant une macro malveillante.
Evil Corp est actif depuis 2014 et le groupe cybercriminalité est motivé financièrement. Il est connu pour cibler les entreprises de vente au détail ainsi que les institutions financières en utilisant de grandes campagnes de spam malveillantes alimentées par le botnet Necurs.
Des chercheurs de Microsoft Security Intelligence ont expliqué comment la nouvelle campagne d'Evil Corp fonctionne dans un tweeter, qui se lit comme suit:
"La nouvelle campagne utilise des redirecteurs HTML joints aux e-mails. Une fois ouvert, le code HTML mène au téléchargement de Dudear, un fichier Excel chargé de macros malveillantes qui supprime la charge utile. En revanche, les campagnes d'e-mails Dudear passées portaient le malware comme pièce jointe ou utilisaient des URL malveillantes. »
Sommaire
Evil Corp
Cette nouvelle campagne marque la première fois qu'Evil Corp utilise des redirecteurs HTML dans le cadre de ses attaques. Les campagnes d'e-mails précédentes menées par le groupe utilisaient des pièces jointes ou des URL de téléchargement malveillantes pour fournir leurs charges utiles malveillantes.
La dernière campagne d'Evil Corp envoie des messages de phishing accompagnés de pièces jointes HTML qui commencent automatiquement à télécharger le fichier Excel utilisé pour supprimer la charge utile. Les victimes sont invitées à ouvrir le document Excel sur leur ordinateur et à autoriser l'édition pour accéder à son contenu.
Une fois cela fait, le malware essaiera également de déposer un cheval de Troie d'accès à distance (RAT) appelé Grace Wire ou FlawedGrace sur le système d'une victime.
Les cybercriminels à l'origine de cette nouvelle campagne ont même utilisé des fichiers HTML localisés dans différentes langues afin de toucher des victimes du monde entier.
Via BleepingComputer
