Les nouvelles attaques de phishing StrelaStealer ont touché plus de 100 organisations dans l’UE et aux États-Unis.
Les chercheurs en cybersécurité ont détecté une nouvelle vague d’attaques de phishing visant à diffuser un voleur d’informations en constante évolution appelé StrelaStealer .
Les campagnes touchent plus de 100 organisations dans l’UE et aux États-Unis, ont déclaré les chercheurs de l’unité 42 de Palo Alto Networks dans un nouveau rapport publié aujourd’hui.
“Ces campagnes se présentent sous la forme de spams avec des pièces jointes qui finissent par lancer la charge utile DLL de StrelaStealer”, a déclaré la société dans un rapport publié aujourd’hui.
“Pour tenter d’échapper à la détection, les attaquants modifient le format initial du fichier de pièce jointe d’une campagne à l’autre, pour empêcher la détection à partir de la signature ou des modèles générés précédemment.”
Divisé pour la première fois en novembre 2022, StrelaStealer est équipé pour siphonner les données de connexion aux e-mails de clients de messagerie bien connus et les exfiltrer vers un serveur contrôlé par un attaquant.
Depuis lors, deux campagnes à grande échelle impliquant le logiciel malveillant ont été détectées en novembre 2023 et janvier 2024, ciblant les secteurs de la haute technologie, de la finance, des secteurs professionnel et juridique, de l’industrie manufacturière, du gouvernement, de l’énergie, des assurances et de la construction dans l’UE et aux États-Unis.
Ces attaques visent également à proposer une nouvelle variante du voleur intégrant de meilleures techniques d’obscurcissement et d’anti-analyse, tout en se propageant via des e-mails sur le thème des factures comportant des pièces jointes ZIP, marquant un changement par rapport aux fichiers ISO.
Les archives ZIP contiennent un fichier JavaScript qui supprime un fichier de commandes qui, à son tour, lance la charge utile DLL du voleur à l’aide de rundll32.exe , un composant Windows légitime responsable de l’exécution des bibliothèques de liens dynamiques 32 bits.
Le malware voleur s’appuie également sur un ensemble d’astuces d’obscurcissement pour rendre l’analyse difficile dans les environnements sandbox.
« À chaque nouvelle vague de campagnes par courrier électronique, les acteurs malveillants mettent à jour à la fois la pièce jointe du courrier électronique, qui initie la chaîne d’infection, et la charge utile de la DLL elle-même », ont expliqué les chercheurs.
La divulgation intervient alors que Symantec, propriété de Broadcom, a révélé que de faux installateurs d’applications bien connues ou des logiciels piratés hébergés sur GitHub, Mega ou Dropbox servaient de canal à un malware voleur connu sous le nom de Stealc .
Des campagnes de phishing ont également été observées fournissant Revenge RAT et Remcos RAT (alias Rescoms), ce dernier étant diffusé au moyen d’un cryptors-as-a-service (CaaS) appelé AceCryptor , selon ESET.
/>« Au cours du second semestre [2023], Rescoms est devenu la famille de logiciels malveillants la plus répandue proposée par AceCryptor », a déclaré la société de cybersécurité, citant des données de télémétrie. “Plus de la moitié de ces tentatives ont eu lieu en Pologne, suivie par la Serbie, l’Espagne, la Bulgarie et la Slovaquie.”
Parmi les autres logiciels malveillants disponibles dans le commerce intégrés à AceCryptor au deuxième semestre 2023 figurent SmokeLoader, STOP ransomware, RanumBot, Vidar, RedLine, Tofsee, Fareit, Pitou et Stealc. Il convient de noter que bon nombre de ces souches de logiciels malveillants ont également été diffusées via PrivateLoader .
Une autre arnaque d’ingénierie sociale observée par Secureworks Counter Threat Unit (CTU) cible des personnes recherchant des informations sur des personnes récemment décédées sur des moteurs de recherche avec de fausses notices nécrologiques hébergées sur de faux sites Web, générant du trafic vers les sites via un empoisonnement par l’optimisation des moteurs de recherche (SEO). afin de finalement pousser les logiciels publicitaires et autres programmes indésirables.
“Les visiteurs de ces sites sont redirigés vers des sites de rencontres électroniques ou de divertissement pour adultes ou se voient immédiatement présenter des invites CAPTCHA qui installent des notifications push Web ou des publicités contextuelles lorsqu’ils sont cliqués”, a déclaré la société
“Les notifications affichent de fausses alertes de virus provenant d’applications antivirus bien connues telles que McAfee et Windows Defender, et elles persistent dans le navigateur même si la victime clique sur l’un des boutons.”
“Les boutons renvoient vers des pages de destination légitimes pour les logiciels antivirus par abonnement, et un identifiant d’affilié intégré dans l’hyperlien récompense les acteurs malveillants pour les nouveaux abonnements ou les renouvellements.”
Bien que l’activité se limite actuellement à remplir les coffres des fraudeurs via des programmes d’affiliation, les chaînes d’attaque pourraient être facilement réutilisées pour diffuser des vols d’informations et d’autres programmes malveillants.
Le développement fait également suite à la découverte d’un nouveau cluster d’activités suivi sous le nom de Fluffy Wolf qui capitalise sur les e-mails de phishing contenant une pièce jointe exécutable pour fournir un cocktail de menaces, telles que MetaStealer , Warzone RAT , le mineur XMRig et un outil de bureau à distance légitime appelé Remote Utilities.
La campagne est le signe que même les acteurs malveillants non qualifiés peuvent exploiter les programmes MaaS (malware-as-a-service) pour mener avec succès des attaques à grande échelle et piller des informations sensibles, qui peuvent ensuite être monétisées davantage à des fins lucratives.
“Bien que médiocres en termes de compétences techniques, ces auteurs de menaces atteignent leurs objectifs en utilisant seulement deux ensembles d’outils : des services d’accès à distance légitimes et des logiciels malveillants peu coûteux”, a déclaré BI.ZONE .