Les chercheurs en cybers\u00e9curit\u00e9 mettent en garde contre une recrudescence des campagnes de phishing par courrier \u00e9lectronique qui exploitent le service Google Cloud Run pour diffuser divers chevaux de Troie bancaires tels qu’Astaroth (alias Guildma), Mekotio et Ousaban (alias Javali) \u00e0 des cibles en Am\u00e9rique latine (LATAM) et en Europe. .<\/p>\n
“Les cha\u00eenes d’infection associ\u00e9es \u00e0 ces familles de logiciels malveillants comportent l’utilisation de programmes d’installation Microsoft (MSI) malveillants qui fonctionnent comme des droppers ou des t\u00e9l\u00e9chargeurs pour la ou les charges utiles finales des logiciels malveillants”, chercheurs de Cisco Talos. divulgu\u00e9<\/a> la semaine derni\u00e8re.<\/p>\n Les campagnes de distribution de logiciels malveillants \u00e0 grand volume, observ\u00e9es depuis septembre 2023, ont utilis\u00e9 le m\u00eame compartiment de stockage au sein de Google Cloud pour la propagation, ce qui sugg\u00e8re des liens potentiels entre les acteurs malveillants \u00e0 l’origine des campagnes de distribution.<\/p>\n Google Cloud\u00a0Run est un plateforme de calcul g\u00e9r\u00e9e<\/a> qui permet aux utilisateurs d’ex\u00e9cuter des services front-end et back-end, des t\u00e2ches par lots, de d\u00e9ployer des sites Web et des applications et de traiter des charges de travail en file d’attente sans avoir \u00e0 g\u00e9rer ou \u00e0 faire \u00e9voluer l’infrastructure.<\/p>\n “Les adversaires peuvent consid\u00e9rer Google Cloud Run comme un moyen peu co\u00fbteux, mais efficace, de d\u00e9ployer une infrastructure de distribution sur des plates-formes auxquelles la plupart des organisations n’emp\u00eachent probablement pas l’acc\u00e8s aux syst\u00e8mes internes”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n La majorit\u00e9 des syst\u00e8mes utilis\u00e9s pour envoyer des messages de phishing proviennent du Br\u00e9sil, suivi des \u00c9tats-Unis, de Russie, du Mexique, d’Argentine, d’\u00c9quateur, d’Afrique du Sud, de France, d’Espagne et du Bangladesh. Les e-mails portent sur des th\u00e8mes li\u00e9s \u00e0 des factures ou \u00e0 des documents financiers et fiscaux, pr\u00e9tendant dans certains cas provenir des agences fiscales des gouvernements locaux.<\/p>\n Ces messages contiennent des liens vers un site Web h\u00e9berg\u00e9 en cours d’ex\u00e9cution.[.]app, entra\u00eenant la livraison d’une archive ZIP contenant un fichier MSI malveillant soit directement, soit via des redirections 302 vers un emplacement Google Cloud Storage, o\u00f9 le programme d’installation est stock\u00e9.<\/p>\n Les auteurs de la menace ont \u00e9galement \u00e9t\u00e9 observ\u00e9s tentant d’\u00e9chapper \u00e0 la d\u00e9tection en utilisant des astuces de g\u00e9orep\u00e9rage en redirigeant les visiteurs vers ces URL vers un site l\u00e9gitime comme Google lorsqu’ils y acc\u00e8dent avec une adresse IP am\u00e9ricaine.<\/p>\n En plus de tirer parti de la m\u00eame infrastructure pour livrer Mekotio et Astaroth, la cha\u00eene d\u2019infection associ\u00e9e \u00e0 ce dernier agit comme un canal pour distribuer Ousaban.<\/p>\n Astaroth, Mekotio et Ousaban sont tous con\u00e7us pour identifier les institutions financi\u00e8res, en gardant un \u0153il sur l’activit\u00e9 de navigation Web des utilisateurs, en enregistrant les frappes au clavier et en prenant des captures d’\u00e9cran si l’un des sites Web de la banque cible est ouvert.<\/p>\n Ousaban a une histoire de militariser les services cloud<\/a> \u00e0 son avantage, apr\u00e8s avoir utilis\u00e9 Amazon S3 et Microsoft Azure pour t\u00e9l\u00e9charger les charges utiles de deuxi\u00e8me \u00e9tape, et Google Docs pour r\u00e9cup\u00e9rer la configuration de commande et de contr\u00f4le (C2).<\/p>\n Ce d\u00e9veloppement intervient au milieu de campagnes de phishing propageant des familles de logiciels malveillants telles que DCRat, Remcos RAT<\/a>et SombreVNC<\/a> capables de collecter des donn\u00e9es sensibles et de prendre le contr\u00f4le des h\u00f4tes compromis.<\/p>\n Cela fait \u00e9galement suite \u00e0 une augmentation du nombre d’acteurs malveillants d\u00e9ployant des codes QR dans le cadre d’attaques de phishing et par courrier \u00e9lectronique (c’est-\u00e0-dire quishing) pour inciter les victimes potentielles \u00e0 installer des logiciels malveillants sur leurs appareils mobiles.<\/p>\n “Dans une attaque distincte, les adversaires ont envoy\u00e9 \u00e0 leurs cibles des e-mails de spear phishing contenant des codes QR malveillants pointant vers de fausses pages de connexion Microsoft Office 365 qui ont fini par voler les informations de connexion de l’utilisateur lors de leur saisie”, Talos dit<\/a>.<\/p>\n “Les attaques par code QR sont particuli\u00e8rement dangereuses car elles d\u00e9placent le vecteur d’attaque d’un ordinateur prot\u00e9g\u00e9 vers l’appareil mobile personnel de la cible, qui dispose g\u00e9n\u00e9ralement de moins de protections de s\u00e9curit\u00e9 en place et qui, en fin de compte, poss\u00e8de les informations sensibles recherch\u00e9es par les attaquants.”<\/p>\n Des campagnes de phishing se sont \u00e9galement tourn\u00e9es vers le secteur p\u00e9trolier et gazier pour d\u00e9ployer un voleur d’informations appel\u00e9 Rhadamanthys, qui a actuellement atteint la version 0.6.0, mettant en \u00e9vidence un flux constant de correctifs et de mises \u00e0 jour<\/a> par ses d\u00e9veloppeurs.<\/p>\n “La campagne commence par un e-mail de phishing utilisant un rapport d’incident de v\u00e9hicule pour inciter les victimes \u00e0 interagir avec un lien int\u00e9gr\u00e9 qui abuse d’une redirection ouverte sur un domaine l\u00e9gitime, principalement Google Maps ou Google Images”, a d\u00e9clar\u00e9 Cofense. dit<\/a>.<\/p>\n Les utilisateurs qui cliquent sur le lien sont ensuite redirig\u00e9s vers un site Web h\u00e9bergeant un faux fichier PDF, qui, en r\u00e9alit\u00e9, est une image cliquable qui contacte un r\u00e9f\u00e9rentiel GitHub et t\u00e9l\u00e9charge une archive ZIP contenant l’ex\u00e9cutable du voleur.<\/p>\n “Une fois qu’une victime tente d’interagir avec l’ex\u00e9cutable, le malware d\u00e9compressera et \u00e9tablira une connexion avec un emplacement de commande et de contr\u00f4le (C2) qui collecte toutes les informations d’identification vol\u00e9es, les portefeuilles de crypto-monnaie ou d’autres informations sensibles”, a ajout\u00e9 la soci\u00e9t\u00e9.<\/p>\n D’autres campagnes ont abus\u00e9 d’outils de marketing par courrier \u00e9lectronique tels que SendGrid de Twilio pour obtenir des listes de diffusion de clients et profiter d’informations d’identification vol\u00e9es pour envoyer des courriers \u00e9lectroniques de phishing convaincants, selon Kaspersky.<\/p>\n “Ce qui rend cette campagne particuli\u00e8rement insidieuse, c’est que les emails de phishing contournent les mesures de s\u00e9curit\u00e9 traditionnelles”, estime la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9. not\u00e9<\/a>. “Comme ils sont envoy\u00e9s via un service l\u00e9gitime et ne contiennent aucun signe \u00e9vident de phishing, ils peuvent \u00e9chapper \u00e0 la d\u00e9tection par les filtres automatiques.”<\/p>\n Ces activit\u00e9s de phishing sont en outre aliment\u00e9es par la disponibilit\u00e9 ais\u00e9e de kits de phishing tels que Greatness et Tycoon, qui sont devenus un moyen rentable et \u00e9volutif permettant aux cybercriminels en herbe de lancer des campagnes malveillantes.<\/p>\n “Groupe Tycoon [phishing-as-a-service] est vendu et commercialis\u00e9 sur Telegram pour seulement 120\u00a0$”, a d\u00e9clar\u00e9 Rodel Mendrez, chercheur \u00e0 Trustwave SpiderLabs. dit<\/a> la semaine derni\u00e8re, notant que le service a vu le jour vers ao\u00fbt 2023.<\/p>\n \u00ab Ses principales fonctionnalit\u00e9s de vente incluent la possibilit\u00e9 de contourner l’authentification \u00e0 deux facteurs de Microsoft, d’atteindre une \u00ab vitesse de liaison au plus haut niveau \u00bb et d’exploiter Cloudflare pour \u00e9chapper aux mesures antibot, garantissant ainsi la persistance des liens de phishing non d\u00e9tect\u00e9s.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Les-chevaux-de-Troie-bancaires-ciblent-lAmerique-latine-et-lEurope.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n