Microsoft a mis en garde les organisations contre une campagne d’attaque « unique » qui abuse des formulaires de contact publiés sur des sites Web pour fournir des liens malveillants aux entreprises via des e-mails contenant de fausses menaces juridiques, dans ce qui est une autre instance d’adversaires abusant d’une infrastructure légitime pour monter des campagnes évasives qui contournent les protections de sécurité.
« Les e-mails demandent aux destinataires de cliquer sur un lien pour examiner les preuves supposées derrière leurs allégations, mais ils sont plutôt conduits au téléchargement d’IcedID, un logiciel malveillant de vol d’informations », a déclaré l’équipe de renseignement sur les menaces de l’entreprise. mentionné dans un article publié vendredi dernier.
IceID est un cheval de Troie bancaire basé sur Windows qui est utilisé pour la reconnaissance et l’exfiltration des informations d’identification bancaires, ainsi que des fonctionnalités qui lui permettent de se connecter à un serveur de commande et de contrôle à distance (C2) pour déployer des charges utiles supplémentaires telles que des ransomwares et des logiciels malveillants capables d’effectuer des opérations manuelles. attaques au clavier, vol d’informations d’identification et déplacement latéral sur les réseaux affectés.
Les chercheurs de Microsoft ont déclaré que les attaquants auraient pu utiliser un outil automatisé pour livrer les e-mails en abusant des formulaires de contact des entreprises tout en contournant les protections CAPTCHA. Les courriels eux-mêmes emploient des menaces juridiques pour intimider les victimes, affirmant que les destinataires «auraient utilisé leurs images ou illustrations sans leur consentement, et que des poursuites judiciaires seront engagées contre elles».
En invoquant un sentiment d’urgence, l’idée est d’amener la victime à révéler des informations sensibles, à cliquer sur un lien fragmentaire ou à ouvrir un fichier malveillant. Dans cette chaîne d’infection, il s’agit d’un lien vers une page sites.google.com, qui oblige les utilisateurs à se connecter avec leurs identifiants Google, après quoi un fichier d’archive ZIP est automatiquement téléchargé.
Le fichier ZIP contient un fichier JavaScript fortement masqué qui télécharge le logiciel malveillant IcedID. De plus, le code malveillant a la capacité de télécharger des implants secondaires comme Cobalt Strike, exposant potentiellement les victimes affectées à un risque supplémentaire.
Malgré la nouvelle voie d’intrusion, les attaques sont un autre signe de la façon dont les acteurs de la menace modifient constamment leurs tactiques d’ingénierie sociale pour cibler les entreprises avec l’intention de distribuer des logiciels malveillants tout en échappant à la détection.
« Les scénarios […] offrent un aperçu sérieux de la façon dont les techniques sophistiquées des attaquants ont évolué, tout en maintenant l’objectif de fournir des charges utiles de logiciels malveillants dangereux tels que IcedID », ont déclaré les chercheurs.« Leur utilisation des formulaires de soumission est remarquable car les e-mails ne portent pas les marques typiques de messages malveillants et sont apparemment légitimes. «
