Les attaquants exploitent une ancienne vulnérabilité de Microsoft Office dans le cadre de campagnes de phishing pour distribuer une souche de malware appelée Agent Tesla.
Les chaînes d’infection exploitent des documents Excel leurres joints à des messages sur le thème des factures pour inciter les cibles potentielles à les ouvrir et activer l’exploitation de CVE-2017-11882 (score CVSS : 7,8), une vulnérabilité de corruption de mémoire dans l’éditeur d’équations d’Office qui pourrait entraîner la création de code. exécution avec les privilèges de l’utilisateur.
Les résultats, provenant de Zscaler ThreatLabz, s’appuient sur des rapports antérieurs de Fortinet FortiGuard Labs, qui détaillaient une campagne de phishing similaire exploitant la faille de sécurité pour diffuser le malware.
« Une fois qu’un utilisateur télécharge une pièce jointe malveillante et l’ouvre, si sa version de Microsoft Excel est vulnérable, le fichier Excel initie la communication avec une destination malveillante et procède au téléchargement de fichiers supplémentaires sans nécessiter aucune autre interaction de l’utilisateur », a déclaré Kaivalya Khursale, chercheuse en sécurité. dit.
La première charge utile est un script Visual Basic obscurci, qui lance le téléchargement d’un fichier JPG malveillant intégré à un fichier DLL codé en Base64. Cette tactique d’évasion stéganographique était auparavant également détaillé par McAfee Labs en septembre 2023.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
La DLL masquée est ensuite injectée dans RegAsm.exe, l’outil d’enregistrement de l’assembly Windows, pour lancer la charge utile finale. Il convient de noter que l’exécutable a également été utilisé de manière abusive pour charger Quasar RAT dans le passé.
Agent Tesla est un enregistreur de frappe avancé et un cheval de Troie d’accès à distance (RAT) basé sur .NET, équipé pour collecter des informations sensibles sur des hôtes compromis. Le malware communique ensuite avec un serveur distant pour extraire les données collectées.
« Les auteurs de menaces adaptent constamment leurs méthodes d’infection, ce qui oblige les organisations à se tenir informées de l’évolution des cybermenaces afin de protéger leur paysage numérique », a déclaré Khursale.
Cette évolution intervient alors que d’anciennes failles de sécurité deviennent de nouvelles cibles d’attaque pour les acteurs malveillants. Plus tôt cette semaine, Imperva a révélé qu’une faille vieille de trois ans dans Oracle WebLogic Server (CVE-2020-14883, score CVSS : 7,2) est utilisée par le gang 8220 pour fournir des mineurs de crypto-monnaie.
Cela coïncide également avec une augmentation de l’activité des logiciels malveillants DarkGate après qu’ils ont commencé à être annoncés plus tôt cette année en tant qu’offre de malware en tant que service (MaaS) et en remplacement de QakBot après son retrait en août 2023.
« Le secteur technologique est le plus touché par les campagnes d’attaque DarkGate », Zscaler ditcitant les données de télémétrie des clients.
« La plupart des domaines DarkGate ont entre 50 et 60 jours, ce qui peut indiquer une approche délibérée dans laquelle les acteurs de la menace créent et alternent des domaines à intervalles spécifiques. »
Des campagnes de phishing ont également été découvertes ciblant le secteur de l’hôtellerie avec des e-mails liés aux réservations pour diffuser des logiciels malveillants voleurs d’informations tels que RedLine Stealer ou Vidar Stealer, selon Sophos.
« Ils contactent d’abord la cible par courrier électronique qui ne contient que du texte, mais avec un sujet auquel une entreprise orientée services (comme un hôtel) voudrait répondre rapidement », chercheurs Andrew Brandt et Sean Gallagher. dit.
« Ce n’est qu’après que la cible a répondu au courrier électronique initial de l’acteur malveillant que celui-ci envoie un message de suivi renvoyant à ce qu’il prétend être des détails sur sa demande ou sa plainte. »
Malgré les voleurs et les chevaux de Troie, les attaques de phishing ont pris la forme de faux e-mails Instagram de « violation des droits d’auteur » pour voler les codes de sauvegarde d’authentification à deux facteurs (2FA) des utilisateurs via des pages Web frauduleuses dans le but de contourner les protections des comptes, un système appelé Insta-Phish-A-Gram.
« Les données récupérées par les attaquants lors de ce type d’attaque de phishing peuvent être vendues clandestinement ou utilisées pour s’emparer du compte », affirme la société de cybersécurité. dit.