Une campagne d’ingénierie sociale en cours, prétendument liée au groupe de ransomware Black Basta, a été liée à « de multiples tentatives d’intrusion » dans le but de procéder à un vol d’informations d’identification et de déployer un programme malveillant appelé SystemBC.
« L’appât initial utilisé par les acteurs de la menace reste le même : une bombe électronique suivie d’une tentative d’appeler les utilisateurs concernés et de leur proposer une fausse solution », a déclaré Rapid7. ditajoutant que « les appels externes étaient généralement passés aux utilisateurs concernés via Microsoft Teams ».
La chaîne d’attaque convainc ensuite l’utilisateur de télécharger et d’installer un logiciel d’accès à distance légitime nommé AnyDesk, qui agit comme un canal pour déployer des charges utiles de suivi et exfiltrer des données sensibles.
Cela inclut l’utilisation d’un exécutable appelé « AntiSpam.exe » qui prétend télécharger des filtres anti-spam et invite les utilisateurs à saisir leurs informations d’identification Windows pour terminer la mise à jour.
L’étape est suivie de l’exécution de plusieurs binaires, fichiers DLL et scripts PowerShell, qui incluent une balise HTTP basée sur Golang qui établit le contact avec un serveur distant, un proxy SOCKS et SystemBC.
Pour atténuer le risque posé par la menace, il est conseillé de bloquer toutes les solutions de bureau à distance non approuvées et d’être à l’affût des appels téléphoniques et des SMS suspects prétendant provenir du personnel informatique interne.
Cette révélation intervient alors que SocGholish (alias FakeUpdates), GootLoader et Raspberry Robin sont devenus les souches de chargeurs les plus couramment observées en 2024, qui servent ensuite de tremplin aux ransomwares, selon les données de ReliaQuest.
« GootLoader est nouveau dans le top 3 de cette année, remplaçant QakBot alors que son activité décline », a déclaré la société de cybersécurité dit.
« Les chargeurs de logiciels malveillants sont fréquemment annoncés sur les forums de cybercriminalité du dark web tels que XSS et Exploit, où ils sont commercialisés auprès des cybercriminels cherchant à faciliter les intrusions dans le réseau et la livraison de charges utiles. Ces chargeurs sont souvent proposés via des modèles d’abonnement, avec des frais mensuels donnant accès à des mises à jour régulières, à une assistance et à de nouvelles fonctionnalités conçues pour échapper à la détection. »
L’un des avantages de cette approche par abonnement est qu’elle permet même aux acteurs malveillants disposant d’une expertise technique limitée de lancer des attaques sophistiquées.
Des attaques de phishing ont également été observées, diffusant un malware voleur d’informations appelé 0bj3ctivity Stealer au moyen d’un autre chargeur appelé Ande Loader dans le cadre d’un mécanisme de distribution multicouche.
« La distribution du malware via des scripts obscurcis et cryptés, des techniques d’injection de mémoire et l’amélioration continue d’Ande Loader avec des fonctionnalités telles que l’anti-débogage et l’obscurcissement des chaînes soulignent la nécessité de mécanismes de détection avancés et de recherches continues », a déclaré eSentire. dit.
Ces campagnes ne sont que les dernières d’une série d’attaques de phishing et d’ingénierie sociale qui ont été découvertes ces dernières semaines, alors même que les acteurs de la menace sont de plus en plus militarisation de faux codes QR à des fins malveillantes –
- Une campagne ClearFake qui leviers pages Web compromises pour diffuser des logiciels malveillants .NET sous prétexte de télécharger une mise à jour de Google Chrome
- UN campagne qui utilise de faux sites Web se faisant passer pour HSBC, Santander, Virgin Money et Wise pour fournir une copie du logiciel AnyDesk Remote Monitoring and Management (RMM) aux utilisateurs Windows et macOS, qui est ensuite utilisé pour voler des données sensibles
- UN faux site web (« gagner-rar[.]co ») distribuant apparemment WinRAR qui est utilisé pour déployer un ransomware, un mineur de crypto-monnaie et un voleur d’informations appelé Kematian Stealer qui sont hébergés sur GitHub
- UN campagne de malvertising sur les réseaux sociaux qui détourne les pages Facebook pour promouvoir un site Web d’édition de photos d’intelligence artificielle (IA) apparemment légitime via des publicités payantes qui incitent les victimes à télécharger l’outil RMM d’ITarian et à l’utiliser pour diffuser Lumma Stealer
« Le ciblage des utilisateurs de médias sociaux par des activités malveillantes souligne l’importance de mesures de sécurité robustes pour protéger les informations d’identification des comptes et empêcher tout accès non autorisé », ont déclaré les chercheurs de Trend Micro.