Des chercheurs en cybersécurité ont repéré une attaque de phishing distribuant le malware More_eggs en le faisant passer pour un CV, une technique détectée à l’origine il y a plus de deux ans.
L’attaque, qui n’a pas abouti, visait une entreprise anonyme du secteur des services industriels en mai 2024, a révélé la semaine dernière la société canadienne de cybersécurité eSentire.
“Plus précisément, l’individu ciblé était un recruteur qui a été trompé par l’acteur malveillant en lui faisant croire qu’il était un candidat à un emploi et qui l’a attiré vers son site Web pour télécharger le chargeur”, a-t-il indiqué.
More_eggs, considéré comme l’œuvre d’un acteur menaçant connu sous le nom de Golden Chickens (alias Venom Spider), est une porte dérobée modulaire capable de collecter des informations sensibles. Il est proposé à d’autres acteurs criminels dans le cadre d’un modèle Malware-as-a-Service (MaaS).
L’année dernière, eSentire a dévoilé l’identité réelle de deux individus – Chuck de Montréal et Jack – qui dirigeraient l’opération.
La dernière chaîne d’attaques implique que des acteurs malveillants répondent aux offres d’emploi de LinkedIn avec un lien vers un faux site de téléchargement de CV qui entraîne le téléchargement d’un fichier de raccourci Windows (LNK) malveillant.
Il convient de noter que l’activité précédente de More_eggs a ciblé des professionnels sur LinkedIn avec des offres d’emploi militarisées pour les inciter à télécharger le malware.
“La navigation vers la même URL quelques jours plus tard aboutit au CV de l’individu en HTML brut, sans aucune indication de redirection ou de téléchargement”, a noté eSentire.
Le fichier LNK est ensuite utilisé pour récupérer une DLL malveillante en exploitant un programme Microsoft légitime appelé ie4uinit.exe, après quoi la bibliothèque est exécutée à l’aide de regsvr32.exe pour établir la persistance, collecter des données sur l’hôte infecté et supprimer des charges utiles supplémentaires, notamment le Porte dérobée More_eggs basée sur JavaScript.
“Les campagnes More_eggs sont toujours actives et leurs opérateurs continuent d’utiliser des tactiques d’ingénierie sociale, telles que se faire passer pour des candidats cherchant à postuler à un poste particulier et inciter les victimes (en particulier les recruteurs) à télécharger leurs logiciels malveillants”, a déclaré eSentire.
“De plus, les campagnes comme more_eggs, qui utilisent l’offre MaaS, semblent rares et sélectives par rapport aux réseaux de distribution de spam classiques.”
Cette évolution intervient alors que la société de cybersécurité a également révélé les détails d’une campagne de téléchargement en voiture qui utilise de faux sites Web pour l’outil d’activation Windows KMSPico afin de distribuer Vidar Stealer.
“Le kmspico[.]ws est hébergé derrière Cloudflare Turnstile et nécessite une intervention humaine (saisie d’un code) pour télécharger le package ZIP final », a noté eSentire. « Ces étapes sont inhabituelles pour une page de téléchargement d’application légitime et visent à masquer la page et la charge utile finale aux accès automatisés. les robots d’exploration du Web.”
Des campagnes d’ingénierie sociale similaires ont également mis en place des sites similaires usurpant l’identité de logiciels légitimes comme Advanced IP Scanner pour déployer Cobalt Strike, a déclaré Trustwave SpiderLabs la semaine dernière.
Cela fait également suite à l’émergence d’un nouveau kit de phishing appelé V3B, utilisé pour identifier les clients bancaires dans l’Union européenne dans le but de voler des informations d’identification et des mots de passe à usage unique (OTP).
Le kit, proposé entre 130 et 450 dollars par mois via un modèle Phishing-as-a-Service (PhaaS) via le dark web et un canal Telegram dédié, serait actif depuis mars 2023. Il est conçu pour prendre en charge plus de 54 banques. implanté en Autriche, Belgique, Finlande, France, Allemagne, Grèce, Irlande, Italie, Luxembourg et Pays-Bas.
L’aspect le plus important de V3B est qu’il propose des modèles personnalisés et localisés pour imiter divers processus d’authentification et de vérification communs aux systèmes bancaires en ligne et de commerce électronique de la région.
Il est également doté de fonctionnalités avancées pour interagir avec les victimes en temps réel et obtenir leurs codes OTP et PhotoTAN, ainsi que pour exécuter une attaque de détournement de connexion par code QR (alias QRLJacking) sur des services tels que WhatsApp qui permettent la connexion via des codes QR.
“Ils ont depuis construit une clientèle axée sur le ciblage des institutions financières européennes”, a déclaré Resecurity. “Actuellement, on estime que des centaines de cybercriminels utilisent ce kit pour commettre des fraudes, laissant les victimes avec des comptes bancaires vides.”
