Les utilisateurs parlant chinois ont été ciblés par des publicités Google malveillantes pour des applications de messagerie restreintes comme Telegram dans le cadre d’une campagne de publicité malveillante en cours.
« L’acteur malveillant abuse des comptes d’annonceurs Google pour créer des publicités malveillantes et les diriger vers des pages sur lesquelles des utilisateurs peu méfiants téléchargeront des chevaux de Troie d’administration à distance (RAT) », a déclaré Jérôme Segura de Malwarebytes. dit dans un rapport de jeudi. « De tels programmes donnent à un attaquant un contrôle total sur la machine d’une victime et la possibilité de supprimer des logiciels malveillants supplémentaires. »
Il convient de noter que l’activité, dont le nom de code FausseAPPs’inscrit dans la continuité d’une vague d’attaques antérieure qui ciblait les utilisateurs de Hong Kong recherchant des applications de messagerie comme WhatsApp et Telegram sur les moteurs de recherche fin octobre 2023.
La dernière itération de la campagne ajoute également l’application de messagerie LINE à la liste des applications de messagerie, redirigeant les utilisateurs vers de faux sites Web hébergés sur Google Docs ou Google Sites.
L’infrastructure de Google est utilisée pour intégrer des liens vers d’autres sites sous le contrôle de l’acteur malveillant afin de fournir les fichiers d’installation malveillants qui finalement déploient des chevaux de Troie tels que PlugX et Gh0st RAT.
Malwarebytes a déclaré avoir retracé les publicités frauduleuses jusqu’à deux comptes d’annonceurs nommés Équipe de communication interactive limitée et Ringier Media Nigeria Limitée qui sont basés au Nigeria.
« Il semble également que l’acteur malveillant privilégie la quantité à la qualité en proposant constamment de nouvelles charges utiles et de nouvelles infrastructures à des fins de commandement et de contrôle », a déclaré Segura.
Ce développement intervient alors que Trustwave SpiderLabs a révélé une augmentation de l’utilisation d’une plate-forme de phishing en tant que service (PhaaS) appelée Greatness pour créer des pages de collecte d’informations d’identification d’apparence légitime ciblant les utilisateurs de Microsoft 365.
« Le kit permet de personnaliser les noms des expéditeurs, les adresses e-mail, les sujets, les messages, les pièces jointes et les codes QR, améliorant ainsi la pertinence et l’engagement », explique la société. ditajoutant qu’il est livré avec des mesures anti-détection telles que la randomisation des en-têtes, le codage et l’obfuscation visant à contourner les filtres anti-spam et les systèmes de sécurité.
Greatness est proposé à la vente à d’autres acteurs criminels pour 120 $ par mois, ce qui réduit efficacement les barrières à l’entrée et les aide à mener des attaques à grande échelle.
Les chaînes d’attaque consistent à envoyer des e-mails de phishing contenant des pièces jointes HTML malveillantes qui, une fois ouvertes par les destinataires, les dirigent vers une fausse page de connexion qui capture les informations de connexion saisies et exfiltre les détails vers l’acteur menaçant via Telegram.
D’autres séquences d’infection ont exploité les pièces jointes pour déposer des logiciels malveillants sur la machine de la victime afin de faciliter le vol d’informations.
Pour augmenter les chances de réussite de l’attaque, les messages électroniques usurpent des sources fiables telles que les banques et les employeurs et induisent un faux sentiment d’urgence en utilisant des sujets tels que « paiements urgents de factures » ou « vérification urgente du compte requise ».
« Le nombre de victimes est inconnu pour le moment, mais Greatness est largement utilisé et bien soutenu, avec sa propre communauté Telegram fournissant des informations sur la façon d’utiliser le kit, ainsi que des trucs et astuces supplémentaires », a déclaré Trustwave.
Des attaques de phishing ont également été observées frappant des entreprises sud-coréennes utilisant des leurres usurpant l’identité d’entreprises technologiques comme Kakao pour distribuer AsyncRAT via des fichiers de raccourci Windows (LNK) malveillants.
« Des fichiers de raccourci malveillants déguisés en documents légitimes sont continuellement distribués », a déclaré l’AhnLab Security Intelligence Center (ASEC) dit. « Les utilisateurs peuvent confondre le fichier de raccourci avec un document normal, car l’extension ‘.LNK’ n’est pas visible sur les noms des fichiers. »