Une nouvelle campagne de phishing par e-mail a \u00e9t\u00e9 rep\u00e9r\u00e9e, tirant parti de la tactique du d\u00e9tournement de conversation pour livrer le Logiciel malveillant voleur d’informations IcedID<\/a> sur des machines infect\u00e9es en utilisant des serveurs Microsoft Exchange non corrig\u00e9s et expos\u00e9s au public.<\/p>\n “Les e-mails utilisent une technique d’ing\u00e9nierie sociale de d\u00e9tournement de conversation (\u00e9galement connue sous le nom de d\u00e9tournement de fil)”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 isra\u00e9lienne Intezer dans un communiqu\u00e9. rapport<\/a> partag\u00e9 avec The Hacker News. “Une r\u00e9ponse falsifi\u00e9e \u00e0 un pr\u00e9c\u00e9dent e-mail vol\u00e9 est utilis\u00e9e pour convaincre le destinataire d’ouvrir la pi\u00e8ce jointe. Ceci est remarquable car cela augmente la cr\u00e9dibilit\u00e9 de l’e-mail de phishing et peut entra\u00eener un taux d’infection \u00e9lev\u00e9.”<\/p>\n La derni\u00e8re vague d’attaques, d\u00e9tect\u00e9e \u00e0 la mi-mars 2022, aurait cibl\u00e9 des organisations des secteurs de l’\u00e9nergie, de la sant\u00e9, du droit et de la pharmacie.<\/p>\n IcedID, alias BokBot, comme ses homologues TrickBot et \u00e9motic\u00f4ne<\/a>est un cheval de Troie bancaire<\/a> qui a \u00e9volu\u00e9 pour devenir un point d’entr\u00e9e pour des menaces plus sophistiqu\u00e9es, y compris les ran\u00e7ongiciels humains et le Frappe de cobalt<\/a> outil de simulation d’adversaire.<\/p>\n Il est capable de se connecter \u00e0 un serveur distant et de t\u00e9l\u00e9charger des implants et des outils de niveau sup\u00e9rieur qui permettent aux attaquants d’effectuer des activit\u00e9s de suivi et de se d\u00e9placer lat\u00e9ralement sur les r\u00e9seaux affect\u00e9s pour distribuer des logiciels malveillants suppl\u00e9mentaires.<\/p>\n En juin 2021, la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d’entreprise Proofpoint a divulgu\u00e9 une tactique \u00e9volutive dans le paysage de la cybercriminalit\u00e9 dans laquelle des courtiers d’acc\u00e8s initiaux ont \u00e9t\u00e9 observ\u00e9s infiltrant les r\u00e9seaux cibles via des charges utiles de logiciels malveillants de premi\u00e8re \u00e9tape telles que IcedID pour d\u00e9ployer les charges utiles de ran\u00e7ongiciels Egregor, Maze et REvil.<\/p>\n Alors que les campagnes IcedID pr\u00e9c\u00e9dentes ont profit\u00e9 de formulaires de contact du site web<\/a> pour envoyer des liens contenant des logiciels malveillants aux organisations, la version actuelle des attaques s’appuie sur des serveurs Microsoft Exchange vuln\u00e9rables pour envoyer les e-mails leurres \u00e0 partir d’un compte pirat\u00e9, indiquant une nouvelle \u00e9volution du syst\u00e8me d’ing\u00e9nierie sociale.<\/p>\n “La charge utile est \u00e9galement pass\u00e9e de l’utilisation de documents Office \u00e0 l’utilisation de fichiers ISO avec un fichier Windows LNK et un fichier DLL”, ont d\u00e9clar\u00e9 les chercheurs Joakim Kennedy et Ryan Robinson. “L’utilisation de fichiers ISO permet \u00e0 l’auteur de la menace de contourner le Contr\u00f4les Mark-of-the-Web<\/a>entra\u00eenant l’ex\u00e9cution du logiciel malveillant sans avertissement pour l’utilisateur.”<\/p>\n L’id\u00e9e est d’envoyer des r\u00e9ponses frauduleuses \u00e0 un fil de discussion d\u00e9j\u00e0 existant pill\u00e9 du compte de la victime en utilisant l’adresse e-mail de l’individu compromis pour rendre les e-mails de phishing plus l\u00e9gitimes.<\/p>\n “L’utilisation du d\u00e9tournement de conversation est une puissante technique d’ing\u00e9nierie sociale qui peut augmenter le taux de r\u00e9ussite d’une tentative de phishing”, ont conclu les chercheurs. “En utilisant cette approche, l’e-mail appara\u00eet plus l\u00e9gitime et est achemin\u00e9 par les canaux normaux qui peuvent \u00e9galement inclure des produits de s\u00e9curit\u00e9.”<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-pirates-informatiques-iraniens-utilisent-un-nouveau-logiciel-malveillant-despionnage.png\")
<\/a><\/div>\n![\"Serveurs](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1648479292_544_Les-pirates-piratent-les-chaines-de-reponse-par-e-mail-sur.jpg\" "\\"Serveurs")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n