Une campagne de phishing récemment découverte – soigneusement conçue pour contourner les défenses de sécurité et éviter la détection par ses victimes prévues – cible les entreprises de la fabrication industrielle et d’autres sociétés essentielles à diverses chaînes d’approvisionnement, ont averti des chercheurs.
La (s) campagne (s) de phishing
Les chercheurs pensent que la campagne a été lancée par des acteurs de menace motivés financièrement.
Son objectif est de fournir une archive zip malveillante qui contient un script PowerShell qui sera exécuté en mémoire, et de l’utiliser pour finalement livrer un implant / porte dérobée en mémoire personnalisé appelé «Mixshell». Le logiciel malveillant utilise le tunneling DNS TXT avec la secours HTTP pour C2 Communications et exécute à distance les commandes et les opérations de fichiers.
La chose la plus intéressante à propos de cette campagne dans l’effort a investi pour convaincre les employés des organisations victimes de faire confiance à l’e-mail et de télécharger et d’exécuter le fichier zip malveillant.
Les attaquants les ont contactés via le formulaire «Contactez-nous» trouvé sur le site Web des sociétés cibles, incitant ainsi efficacement les victimes à initier la correspondance par e-mail et à contourner automatiquement les filtres par e-mail basés sur la réputation.
«Les attaquants investissent des jours ou des semaines dans des conversations professionnelles crédibles, demandant souvent à la victime de signer un accord de non-divulgation (NDA)», ont partagé les chercheurs. (Le document NDA peut servir de leurre et de document de leurre.)
«Les domaines utilisés par les acteurs de la menace pour initier la communication par e-mail semblent être soigneusement sélectionnés pour la crédibilité et la légitimité. Beaucoup de ces domaines correspondent aux noms des LLC enregistrés dans les entreprises américaines et, dans certains cas, ont peut-être déjà appartenu à des entreprises légitimes.»
Ces domaines ont été initialement enregistrés il y a plus de cinq ans. Leur réputation claire et leurs histoires commerciales légitimes ont aidé les attaquants à tromper les filtres de sécurité et les victimes potentielles.
Comment les attaquants trompent les destinataires (source: Recherche de point de contrôle)
Une fois que les assaillants ont estimé qu’ils avaient réussi à gagner la confiance des cibles, ils leur ont demandé de télécharger le fichier malveillant à partir d’un sous-domaine de la Herokuapp.com.
Les chercheurs ont également repéré une nouvelle vague de courriels de phishing associés à cette même campagne: au lieu de contacter le formulaire «Contactez-nous», les attaquants envoient directement des employés et prétendent qu’ils travaillent avec l’organisation pour aider à mettre en œuvre des changements opérationnels dirigés par l’IA.
«Le courrier électronique est positionné comme une initiative interne et formulé comme une« évaluation de l’impact de l’IA », demandant au destinataire de revoir un court questionnaire sur la façon dont l’intelligence artificielle pourrait affecter les flux de travail de leur équipe. Pour accroître la légitimité et l’urgence, l’attaquant indique explicitement que la direction de l’entreprise a demandé la contribution personnelle du récipiendaire, impliquant que leur opinion influencera les décisions à venir», a déclaré le chercheur.
Cette campagne est toujours dans la phase initiale, les chercheurs n’ont donc pas été en mesure de confirmer que la charge utile malveillante (qui sera) utilisée est la même.
Les victimes
Les attaquants ont ciblé des organisations sur plusieurs secteurs, mais principalement aux États-Unis.
Ils frappent principalement les sociétés de niveau d’entreprise, mais les petites et moyennes entreprises ont également été ciblées.
“L’engagement à long terme avec la victime (conversations de plusieurs semaines) suggère que l’attaquant est disposé à investir du temps à cultiver la relation quelle que soit la taille de l’entreprise, adaptant peut-être leurs efforts en fonction de la valeur perçue ou de la facilité de compromis”, ont noté les chercheurs.
“Plus de 80% des objectifs identifiés de cette campagne sont basés aux États-Unis, soulignant une concentration géographique claire, tandis que les entreprises de Singapour, du Japon et de la Suisse ont été ciblées. Dans l’ensemble, les modèles d’engagement observés étaient centrés sur les États-Unis concernant l’infrastructure, le style de communication et les points d’accès initiaux.”
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
