L’acteur mena\u00e7ant suivi comme TA866<\/strong> a refait surface apr\u00e8s une interruption de neuf mois avec une nouvelle campagne de phishing \u00e0 grand volume visant \u00e0 diffuser des familles de malwares connues telles que WasabiSeed et Screenshotter.<\/p>\n La campagne, observ\u00e9e plus t\u00f4t ce mois-ci et bloqu\u00e9e par Proofpoint le 11 janvier 2024, impliquait l’envoi de milliers d’e-mails sur le th\u00e8me des factures ciblant l’Am\u00e9rique du Nord et contenant des fichiers PDF leurres.<\/p>\n “Les fichiers PDF contenaient des URL OneDrive qui, si elles \u00e9taient cliqu\u00e9es, d\u00e9clenchaient une cha\u00eene d’infection en plusieurs \u00e9tapes conduisant finalement \u00e0 la charge utile du malware, une variante de l’ensemble d’outils personnalis\u00e9s WasabiSeed et Screenshotter”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d’entreprise. dit<\/a>.<\/p>\n TA866 a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par la soci\u00e9t\u00e9 en f\u00e9vrier 2023, l’attribuant \u00e0 une campagne nomm\u00e9e Screentime qui distribuait WasabiSeed, un compte-gouttes de script Visual Basic utilis\u00e9 pour t\u00e9l\u00e9charger Screenshotter, capable de prendre des captures d’\u00e9cran du bureau de la victime \u00e0 intervalles r\u00e9guliers et d’exfiltrer ces donn\u00e9es vers un domaine contr\u00f4l\u00e9 par un acteur.<\/p>\n Il existe des preuves sugg\u00e9rant que l’acteur organis\u00e9 pourrait \u00eatre motiv\u00e9 financi\u00e8rement en raison du fait que Screenshotter agit comme un outil de reconnaissance pour identifier des cibles de grande valeur pour la post-exploitation et d\u00e9ployer un robot bas\u00e9 sur AutoHotKey (AHK) pour finalement abandonner le Rhadamanthys. voleur d’informations.<\/p>\n Des d\u00e9couvertes ult\u00e9rieures de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 slovaque ESET en juin 2023 ont mis au jour des chevauchements entre Screentime et un autre ensemble d’intrusions baptis\u00e9 Asylum Ambuscade, un groupe de logiciels criminels actif depuis au moins 2020 qui se livre \u00e9galement \u00e0 des op\u00e9rations de cyberespionnage.<\/p>\n La derni\u00e8re cha\u00eene d’attaque reste pratiquement inchang\u00e9e, \u00e0 l’exception du passage des pi\u00e8ces jointes Publisher compatibles avec les macros aux PDF portant un lien OneDrive malveillant, la campagne s’appuyant sur un service de spam fourni par TA571 pour distribuer les PDF pi\u00e9g\u00e9s.<\/p>\n “TA571 est un distributeur de spam, et cet acteur envoie des campagnes de spam \u00e0 volume \u00e9lev\u00e9 pour fournir et installer une vari\u00e9t\u00e9 de logiciels malveillants pour ses clients cybercriminels”, a d\u00e9clar\u00e9 Axel F, chercheur chez Proofpoint.<\/p>\n Cela inclut AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (alias Qbot) et DarkGate, ce dernier permettant aux attaquants d’ex\u00e9cuter diverses commandes telles que le vol d’informations, l’extraction de cryptomonnaie et l’ex\u00e9cution de programmes arbitraires.<\/p>\n Splunk, qui d\u00e9tect\u00e9<\/a> Dans plusieurs campagnes d\u00e9ployant un chargeur con\u00e7u pour lancer DarkGate sur des points de terminaison compromis, les fichiers PDF malveillants agissent comme un support pour un programme d’installation MSI qui ex\u00e9cute une archive cabinet (CAB) pour d\u00e9clencher l’ex\u00e9cution de DarkGate via le script de chargeur AutoIT.<\/p>\n “Darkgate est apparu pour la premi\u00e8re fois en 2017 et n’est vendu qu’\u00e0 un petit nombre de groupes d’attaque sous la forme de Malware-as-a-Service via des forums clandestins”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 sud-cor\u00e9enne S2W. dit<\/a> dans une analyse du malware cette semaine.<\/p>\n “DarkGate continue de le mettre \u00e0 jour en ajoutant des fonctionnalit\u00e9s et en corrigeant des bugs sur la base des r\u00e9sultats d’analyse des chercheurs et des fournisseurs en s\u00e9curit\u00e9”, soulignant les efforts continus d\u00e9ploy\u00e9s par les adversaires pour mettre en \u0153uvre des techniques d’anti-analyse<\/a> pour contourner la d\u00e9tection.<\/p>\n La nouvelle de la r\u00e9surgence du TA866 survient alors que Cofense a r\u00e9v\u00e9l\u00e9 que les e-mails de phishing li\u00e9s au transport ciblent principalement le secteur manufacturier pour propager des logiciels malveillants tels que l’agent Tesla et Formbook.<\/p>\n “Les e-mails sur le th\u00e8me du transport maritime augmentent pendant la p\u00e9riode des f\u00eates, quoique l\u00e9g\u00e8rement”, explique Nathaniel Raymond, chercheur en s\u00e9curit\u00e9 chez Cofense. dit<\/a>.<\/p>\n “Pour la plupart, les tendances annuelles sugg\u00e8rent que ces e-mails suivent une tendance particuli\u00e8re tout au long de l’ann\u00e9e avec des volumes variables, les volumes les plus importants \u00e9tant enregistr\u00e9s en juin, octobre et novembre.”<\/p>\n Le d\u00e9veloppement fait \u00e9galement suite \u00e0 la d\u00e9couverte d’une nouvelle tactique d’\u00e9vasion qui exploite le m\u00e9canisme de mise en cache des produits de s\u00e9curit\u00e9 pour les contourner en incorporant une URL d’appel \u00e0 l’action (CTA) qui pointe vers un site Web de confiance dans le message de phishing envoy\u00e9 \u00e0 la personne cibl\u00e9e.<\/p>\n “Leur strat\u00e9gie consiste \u00e0 mettre en cache une version apparemment inoffensive du vecteur d’attaque, puis \u00e0 la modifier pour d\u00e9livrer une charge utile malveillante”, d\u00e9clare Trellix. dit<\/a>affirmant que de telles attaques ont cibl\u00e9 de mani\u00e8re disproportionn\u00e9e les secteurs verticaux des services financiers, de l’industrie manufacturi\u00e8re, de la vente au d\u00e9tail et de l’assurance en Italie, aux \u00c9tats-Unis, en France, en Australie et en Inde.<\/p>\n Lorsqu’une telle URL est analys\u00e9e par le moteur de s\u00e9curit\u00e9, elle est marqu\u00e9e comme s\u00fbre et le verdict est stock\u00e9 dans son cache pendant une dur\u00e9e d\u00e9finie. Cela signifie \u00e9galement que si l’URL est rencontr\u00e9e \u00e0 nouveau au cours de cette p\u00e9riode, elle n’est pas retrait\u00e9e et le r\u00e9sultat mis en cache est diffus\u00e9 \u00e0 la place.<\/p>\n Trellix a soulign\u00e9 que les attaquants profitent de cette bizarrerie en attendant que les fournisseurs de s\u00e9curit\u00e9 traitent l’URL du CTA et mettent en cache leur verdict, puis modifient le lien pour rediriger vers la page de phishing pr\u00e9vue.<\/p>\n “Le verdict \u00e9tant inoffensif, l’e-mail arrive sans probl\u00e8me dans la bo\u00eete de r\u00e9ception de la victime”, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Sushant Kumar Arya, Daksh Kapur et Rohan Shah. “Maintenant, si le destinataire sans m\u00e9fiance d\u00e9cide d’ouvrir l’e-mail et de cliquer sur le lien\/bouton dans l’URL du CTA, il sera redirig\u00e9 vers la page malveillante.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Alerte-de-phishing-sur-facture-TA866-deploie-les-logiciels-malveillants.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n