Les auteurs de la menace derrière les voleurs d’informations RedLine et Vidar ont été observés se tournant vers les ransomwares via des campagnes de phishing qui propagent les charges utiles initiales signées avec Extended Validation (VE) certificats de signature de code.
« Cela suggère que les acteurs de la menace rationalisent leurs opérations en rendant leurs techniques polyvalentes », ont déclaré les chercheurs de Trend Micro. dit dans une nouvelle analyse publiée cette semaine.
Dans l’incident sur lequel a enquêté la société de cybersécurité, une victime anonyme aurait d’abord reçu un logiciel malveillant voleur d’informations avec des certificats de signature de code EV, suivi d’un ransomware utilisant la même technique de livraison.
Dans le passé, les infections par QakBot ont exploité échantillons signés avec des certificats de signature de code valides pour contourner les protections de sécurité.
Les attaques commencent par des e-mails de phishing qui utilisent des leurres bien connus pour inciter les victimes à exécuter des pièces jointes malveillantes se faisant passer pour des images PDF ou JPG, mais qui sont en réalité des exécutables qui relancent la compromission lors de l’exécution.
Alors que la campagne ciblant la victime a livré un malware voleur en juillet, une charge utile de ransomware a fait son chemin début août après avoir reçu un e-mail contenant une fausse pièce jointe à un e-mail de plainte de TripAdvisor (« TripAdvisor-Complaint.pdf.htm »), déclenchant une séquence d’étapes. qui a abouti au déploiement d’un ransomware.
« À ce stade, il convient de noter que contrairement aux échantillons du voleur d’informations sur lesquels nous avons enquêté, les fichiers utilisés pour supprimer la charge utile du ransomware n’avaient pas de certificats EV », ont déclaré les chercheurs.
« Cependant, les deux proviennent du même acteur menaçant et se propagent via le même mode de transmission. Nous pouvons donc supposer une division du travail entre le fournisseur de charge utile et les opérateurs. »
Ce développement intervient alors qu’IBM X-Force a découvert de nouvelles campagnes de phishing diffusant une version améliorée d’un chargeur de malware nommé DBatLoader, qui a été utilisé comme canal pour distribuer FormBook et Remcos RAR plus tôt cette année.
Les nouvelles fonctionnalités de DBatLoader facilitent le contournement, la persistance et l’injection de processus de l’UAC, ce qui indique qu’il est activement maintenu pour supprimer les programmes malveillants susceptibles de collecter des informations sensibles et de permettre le contrôle à distance des systèmes.
La récente série d’attaques, détectées depuis fin juin, est conçue pour diffuser également des logiciels malveillants courants tels que Agent Tesla et Warzone RAT. La majorité des e-mails ciblaient les anglophones, bien que des e-mails en espagnol et en turc aient également été repérés.
« Dans plusieurs campagnes observées, les auteurs de la menace ont exercé un contrôle suffisant sur l’infrastructure de messagerie pour permettre aux e-mails malveillants de passer les méthodes d’authentification de messagerie SPF, DKIM et DMARC », a déclaré la société. dit.
« La majorité des campagnes ont utilisé OneDrive pour organiser et récupérer des charges utiles supplémentaires, une petite fraction utilisant autrement le transfert.[.]sh ou domaines nouveaux/compromis. »
L’identité est le nouveau point de terminaison : maîtriser la sécurité SaaS à l’ère moderne
Plongez dans l’avenir de la sécurité SaaS avec Maor Bin, PDG d’Adaptive Shield. Découvrez pourquoi l’identité est le nouveau point final. Réservez votre place maintenant.
Dans le même ordre d’idées, Malwarebytes a révélé qu’une nouvelle campagne de publicité malveillante cible les utilisateurs qui recherchent le logiciel de visioconférence Webex de Cisco sur des moteurs de recherche comme Google pour les rediriger vers un faux site Web qui propage le malware BATLOADER.
BATLOADER, pour sa part, établit un contact avec un serveur distant pour télécharger une charge utile cryptée de deuxième étape, qui est un autre malware voleur et enregistreur de frappe connu appelé DanaBot.
Une nouvelle technique adoptée par l’acteur menaçant est l’utilisation de URL des modèles de suivi comme mécanisme de filtrage et de redirection pour prendre des empreintes digitales et déterminer les victimes potentielles d’intérêt. Les visiteurs qui ne répondent pas aux critères (par exemple, demandes provenant d’un environnement sandbox) sont dirigés vers le site Webex légitime.
« Parce que les publicités semblent si légitimes, il ne fait aucun doute que les gens cliqueront dessus et visiteront des sites dangereux », a déclaré Jérôme Segura, directeur des renseignements sur les menaces chez Malwarebytes. dit.
« Le type de logiciel utilisé dans ces publicités indique que les acteurs de la menace s’intéressent aux entreprises victimes qui leur fourniront des informations d’identification utiles pour des « tests d’intrusion » ultérieurs sur le réseau et, dans certains cas, pour le déploiement de ransomwares.