Depuis décembre 2023, les acteurs malveillants exploitent de faux sites Web faisant la publicité de logiciels de visioconférence populaires tels que Google Meet, Skype et Zoom pour diffuser une variété de logiciels malveillants ciblant à la fois les utilisateurs d’Android et de Windows.
« L’acteur malveillant distribue des chevaux de Troie d’accès à distance (RAT), notamment SpyNote RAT pour les plates-formes Android, ainsi que NjRAT et DCRat pour les systèmes Windows », ont déclaré les chercheurs de Zscaler ThreatLabz. dit.
Les sites usurpés sont en russe et sont hébergés sur des domaines qui ressemblent beaucoup à leurs homologues légitimes, ce qui indique que les attaquants utilisent des astuces de typosquatting pour inciter les victimes potentielles à télécharger le logiciel malveillant.
Ils proposent également des options pour télécharger l’application pour les plateformes Android, iOS et Windows. Tandis qu’un clic sur le bouton pour Android télécharge un fichier APK, un clic sur le bouton de l’application Windows déclenche le téléchargement d’un script batch.
Le script batch malveillant est responsable de l’exécution d’un script PowerShell, qui, à son tour, télécharge et exécute le cheval de Troie d’accès à distance.
Actuellement, il n’existe aucune preuve que l’acteur malveillant cible les utilisateurs iOS, étant donné que cliquer sur le bouton de l’application iOS amène l’utilisateur à la liste légitime de l’App Store d’Apple pour Skype.
« Un acteur malveillant utilise ces leurres pour distribuer des RAT pour Android et Windows, qui peuvent voler des informations confidentielles, enregistrer des frappes au clavier et voler des fichiers », ont indiqué les chercheurs.
Ce développement intervient alors que l’AhnLab Security Intelligence Center (ASEC) a révélé qu’un nouveau malware baptisé WogRAT ciblant à la fois Windows et Linux exploite une plate-forme de bloc-notes en ligne gratuite appelée aNotepad comme vecteur secret pour héberger et récupérer du code malveillant.
Il serait actif à partir d’au moins fin 2022, ciblant des pays asiatiques comme la Chine, Hong Kong, le Japon et Singapour, entre autres. Cela dit, on ne sait pas actuellement comment le malware se propage dans la nature.
« Lorsque WogRAT est exécuté pour la première fois, il collecte des informations de base sur le système infecté et les envoie au serveur C&C », ASEC dit. « Le malware prend ensuite en charge des commandes telles que l’exécution de commandes, l’envoi de résultats, le téléchargement de fichiers et le téléchargement de ces fichiers. »
Cela coïncide également avec des campagnes de phishing à grand volume orchestrées par un cybercriminel motivé par des raisons financières, connu sous le nom de TA4903, pour voler les informations d’identification de l’entreprise et probablement les suivre d’attaques de compromission de la messagerie professionnelle (BEC). L’adversaire est actif depuis au moins 2019, et ses activités s’intensifient après la mi-2023.
« TA4903 mène régulièrement des campagnes visant à usurper diverses entités gouvernementales américaines afin de voler les informations d’identification des entreprises », Proofpoint dit. « L’acteur usurpe également des organisations de divers secteurs, notamment la construction, la finance, la santé, l’alimentation et les boissons, entre autres. »
Les chaînes d’attaque impliquent l’utilisation de codes QR (ou quishing) pour le phishing d’informations d’identification ainsi que le recours au kit de phishing EvilProxy Adversary-in-the-Middle (AiTM) pour contourner les protections d’authentification à deux facteurs (2FA).
Une fois qu’une boîte aux lettres cible est compromise, l’acteur malveillant a été observé en train de rechercher des informations relatives aux paiements, aux factures et aux informations bancaires, dans le but ultime de détourner les fils de discussion existants et de commettre une fraude aux factures.
Les campagnes de phishing ont également servi de canal à d’autres familles de logiciels malveillants comme Porte Sombre, Agent Tesla et Remcos RATdont le dernier exploite des leurres stéganographiques pour déposer le malware sur les hôtes compromis.