Les principales sociétés financières et d’assurance situées dans les pays francophones d’Afrique ont été ciblées au cours des deux dernières années dans le cadre d’une campagne malveillante persistante portant le nom de code DangereuxSavane.
Les pays ciblés sont la Côte d’Ivoire, le Maroc, le Cameroun, le Sénégal et le Togo, les attaques de harponnage se concentrant fortement sur la Côte d’Ivoire ces derniers mois, a déclaré la société israélienne de cybersécurité Check Point. a dit dans un rapport de mardi.
Les chaînes d’infection impliquent de cibler les employés des institutions financières avec des messages d’ingénierie sociale contenant des pièces jointes malveillantes comme moyen d’accès initial, conduisant finalement au déploiement de logiciels malveillants prêts à l’emploi tels que Metasploit, PoshC2, DWserviceet AsyncRAT.
« La créativité des acteurs de la menace est exposée dans la phase d’infection initiale, car ils poursuivent constamment les employés des entreprises ciblées, changeant constamment les chaînes d’infection qui utilisent un large éventail de types de fichiers malveillants, des chargeurs exécutables auto-écrits et des documents malveillants, aux fichiers ISO, LNK, JAR et VBE dans diverses combinaisons », a déclaré la société.
Les e-mails de phishing sont rédigés en français et envoyés via les services Gmail et Hotmail, les messages usurpant également l’identité d’autres institutions financières en Afrique pour renforcer leur crédibilité.
Alors que les attaques de 2021 ont exploité les documents Microsoft Word contenant des macros comme leurres, la décision de l’entreprise de bloquer les macros dans les fichiers téléchargés sur Internet par défaut plus tôt cette année a conduit les acteurs de DangerousSavanna à basculer vers les fichiers PDF et ISO.
De plus, la première vague d’attaques de fin 2020 à début 2021 impliquait l’utilisation d’outils sur mesure basés sur .NET, déguisés en fichiers PDF joints à des e-mails de phishing, pour récupérer les droppers et loaders de la prochaine étape à partir de serveurs distants. .
Quelle que soit la méthode utilisée, les activités de post-exploitation effectuées après avoir pris pied initial incluent l’établissement de la persistance, la reconnaissance et la fourniture de charges utiles supplémentaires pour contrôler à distance l’hôte, tuer les processus anti-malware et enregistrer les frappes.
La provenance exacte de l’auteur de la menace reste incertaine, mais le changement fréquent de ses outils et méthodes démontre sa connaissance des logiciels open source et sa capacité à affiner ses tactiques pour maximiser les gains financiers.
« Si une chaîne d’infection ne fonctionnait pas, ils changeaient l’attachement et le leurre et essayaient de cibler la même entreprise encore et encore en essayant de trouver un point d’entrée », a déclaré Check Point. « Avec l’ingénierie sociale via le harponnage, il suffit d’un clic imprudent d’un utilisateur sans méfiance. »