Des chercheurs en cybersécurité ont détaillé des campagnes de phishing généralisées ciblant les petites et moyennes entreprises (PME) en Pologne en mai 2024, qui ont conduit au déploiement de plusieurs familles de logiciels malveillants comme Agent Tesla, Formbook et Remcos RAT.
Selon la société de cybersécurité ESET, l’Italie et la Roumanie figurent également parmi les régions ciblées par les campagnes.
« Les attaquants ont utilisé des comptes de messagerie et des serveurs d’entreprise précédemment compromis, non seulement pour diffuser des e-mails malveillants, mais également pour héberger des logiciels malveillants et collecter des données volées », a déclaré Jakub Kaloč, chercheur à ESET. dit dans un rapport publié aujourd’hui.
Ces campagnes, réparties sur neuf vagues, se distinguent par l’utilisation d’un chargeur de malware appelé DBatLoader (alias ModiLoader et NatsoLoader) pour délivrer les charges utiles finales.
Selon la société slovaque de cybersécurité, cela marque une rupture avec les attaques précédentes observées au cours du second semestre 2023, qui utilisaient un cryptor en tant que service (CaaS) baptisé AceCryptor pour propager Remcos RAT (alias Rescoms).
« Au cours de la seconde moitié de [2023]« Rescoms est devenu la famille de malwares la plus répandue contenue dans AceCryptor », a noté ESET en mars 2024. « Plus de la moitié de ces tentatives ont eu lieu en Pologne, suivie de la Serbie, de l’Espagne, de la Bulgarie et de la Slovaquie. »
Le point de départ des attaques était constitué d’e-mails de phishing incorporant des pièces jointes RAR ou ISO contenant des logiciels malveillants qui, une fois ouverts, activaient un processus en plusieurs étapes pour télécharger et lancer le cheval de Troie.
Dans les cas où un fichier ISO était joint, cela conduisait directement à l’exécution de DBatLoader. L’archive RAR, en revanche, contenait un script batch Windows obscurci contenant un exécutable ModiLoader codé en Base64 qui se déguise en un PEM-liste de révocation de certificats codée.
DBatLoader, un téléchargeur basé sur Delphi, est principalement conçu pour télécharger et lancer les logiciels malveillants de niveau supérieur à partir de Microsoft OneDrive ou de serveurs compromis appartenant à des entreprises légitimes.
Quel que soit le type de malware déployé, Agent Tesla, Formbook et Remcos RAT sont dotés de capacités permettant de siphonner des informations sensibles, permettant aux acteurs de la menace de « préparer le terrain pour leurs prochaines campagnes ».
Cette évolution intervient alors que Kaspersky révèle que les PME sont de plus en plus ciblées par les cybercriminels en raison de leur manque de mesures de cybersécurité robustes ainsi que de leurs ressources et de leur expertise limitées.
« Les attaques de chevaux de Troie restent la cybermenace la plus courante, ce qui indique que les attaquants continuent de cibler les PME et privilégient les logiciels malveillants aux logiciels indésirables », a déclaré le fournisseur de sécurité russe dit le mois dernier.
« Les chevaux de Troie sont particulièrement dangereux car ils imitent des logiciels légitimes, ce qui les rend plus difficiles à détecter et à prévenir. Leur polyvalence et leur capacité à contourner les mesures de sécurité traditionnelles en font un outil répandu et efficace pour les cyberattaquants. »