Les chercheurs de Bitdefender ont découvert qu’un accablant 84% des principales attaques – évalué comme les incidents à forte gravité par la plate-forme de cybersécurité du fournisseur – utilisent des techniques de vie.
Après l’analyse de plus de 700 000 événements de sécurité enregistrés par la plate-forme BitDefender GravityZone sur 90 jours, les chercheurs ont conclu que les adversaires “réussissent manifestement à échapper aux défenses traditionnelles en manipulant de manière experte les services publics mêmes du système et en nous faisant confiance – et les acteurs de la menace opèrent avec une affirmation confiante de la indétectabilité”. “
Les attaques LOTL ne sont pas nouvelles. Bien que le terme ait été inventé en 2013, l’approche remonte à Code Red de 2001, un ver qui courait entièrement en mémoire, n’a pas téléchargé ou installé de fichiers et aurait coûté des milliards de dommages-intérêts.
En un mot, les attaques LOTL utilisent des logiciels et des fonctions légitimes qui existent déjà dans les systèmes de victimes pour effectuer des attaques. Dans le cas de Code Red, le ver a exploité le logiciel IIS du serveur Web de Microsoft pour mener des attaques DOS. Parce qu’ils utilisent des systèmes connus et de confiance, ces attaques sont souvent capables de se cacher en arrière-plan et d’éviter les utilisateurs, ce qui les rend difficiles à prévenir, à détecter et à atténuer.
Une fois à l’intérieur des systèmes d’une victime, les attaquants peuvent effectuer une reconnaissance, déployer des logiciels malveillants sans fil ou uniquement à la mémoire et voler des informations d’identification, entre autres techniques LOTL – complètement à l’insu de la victime.
Le Roundup de cette semaine met en évidence une campagne de logiciels malveillants qui mène des attaques LOTL contre l’infrastructure de tunnel CloudFlare et les chargeurs basés sur Python. De plus, les escrocs utilisent des sites Web légitimes pour tromper les victimes à la recherche d’un support technologique et les référentiels github malveillants se masquent comme des suites de test de pénétration légitimes.
Serpentine # Cloud utilise des fichiers de raccourci et une infrastructure de cloudflare
Les chercheurs de Securonix ont identifié une campagne de logiciels malveillants sophistiquée appelée Serpentine # Cloud qui utilise des fichiers de raccourci LNK pour fournir des charges utiles distantes. Les attaques commencent par des e-mails de phishing contenant des liens vers des pièces jointes zippées qui exécutent le code distant lors de l’ouverture, déploiement finalement d’un chargeur de codes shellcode en mémoire basé sur Python.
Les acteurs de la menace utilisent le service de tunneling de CloudFlare pour héberger les charges utiles malveillantes, bénéficiant de ses certificats de confiance et de l’utilisation de HTTPS. Tout en montrant une certaine sophistication qui rappelle les acteurs de l’État-nation, certains choix de codage de ces attaques LOTL ont suggéré que le cloud Serpentine # ne provient probablement aucun des grands groupes de l’État-nation.
Lisez l’histoire complète d’Alexander Culafi sur Dark Reading.
Arnaqueurs Résultats de recherche de détournement avec de faux numéros de support technologique
Les cybercriminels créent des escroqueries de support technologique trompeuses en achetant des annonces Google sponsorisées qui semblent représenter les grandes marques, notamment Apple, Microsoft et PayPal. Contrairement aux escroqueries traditionnelles, ces attaques dirigent les utilisateurs vers des sites Web de l’entreprise légitimes, mais superposent des numéros de téléphone frauduleux de support. Lorsque les utilisateurs appellent ces numéros, les escrocs présentent un support technologique officiel pour voler des données et des informations financières ou obtenir un accès à distance aux appareils.
Les chercheurs de malwarebytes ont qualifié cela de “l’attaque d’injection de paramètres de recherche”, où les URL malveillantes intégrent de faux numéros de téléphone dans des sites authentiques. Les utilisateurs doivent vérifier les numéros de support via des communications officielles de l’entreprise avant d’appeler.
Lisez l’histoire complète de Kristina Beek sur Dark Reading.
Le groupe de menaces armement les référentiels GitHub pour cibler les pros de sécurité
Trend Micro chercheurs a identifié un nouveau groupe de menaces appelé Water Curse qui arme les référentiels GitHub déguisés en outils de sécurité légitimes pour fournir des logiciels malveillants via des scripts de construction malveillants.
Actif depuis mars 2023, le groupe a utilisé au moins 76 comptes GitHub pour cibler les professionnels de la cybersécurité, les développeurs de jeux et les équipes DevOps. Les logiciels malveillants à plusieurs étapes peuvent exfiltrer les informations d’identification, les données du navigateur et les jetons de session tout en établissant un accès à distance et une persistance. L’attaque commence généralement lorsque les victimes téléchargent des projets open source compromis contenant du code malveillant intégré. Le code se déclenche pendant la compilation, le déploiement des charges utiles VBScript et PowerShell qui effectuent la reconnaissance du système et le vol de données.
Lisez l’histoire complète d’Elizabeth Montalbano sur Dark Reading.
Note de l’éditeur: Notre personnel a utilisé des outils d’IA pour aider à la création de ce mémoire.
Sharon Shea est rédacteur en chef du site de recherche de recherche d’OndroTA TechTarget.
