Les attaquants ont tenté de transmettre des logiciels malveillants de nettoyage aux employés d’organisations à travers Israël en se faisant passer pour la société de cybersécurité ESET par courrier électronique.
L’e-mail de phishing
L’attaque a pris la forme d’un e-mail de phishing apparemment envoyé par « Eset Advanced Threat Defense Team », avertissant que des pirates informatiques soutenus par l’État ont tenté de compromettre le(s) appareil(s) de la cible.
L’e-mail de phishing (Source : Un utilisateur du forum de sécurité ESET)
L’e-mail a été publié sur le forum de sécurité d’ESET le 8 octobre par un destinataire demandant confirmation qu’il s’agissait d’une tentative de phishing.
“J’ai réussi à obtenir l’e-mail, qui passe les contrôles DKIM et SPF pour provenir de la boutique d’ESET”, a expliqué le chercheur en sécurité Kevin Beaumont.
« De plus, le lien est bien avec backend.store.eset.co.il – propriété d’ESET Israël.
Beaumont a également réussi à mettre la main sur le fichier ZIP que les cibles étaient chargées de télécharger et, après l’avoir analysé, il a réalisé qu’il s’agissait d’un essuie-glace se faisant passer pour un ransomware.
ESET Israel Wiper – comme il a surnommé le malware – « a besoin d’un [PC] et il est temps d’exploser.
Depuis le début du dernier conflit Gaza-Israël en octobre 2023, les entreprises israéliennes ont été ciblées à plusieurs reprises par des logiciels malveillants wiper.
ESET confirme l’incident
L’enquête de Beaumont sur l’affaire a forcé ESET Research à divulguer publiquement un « incident de sécurité » survenu il y a une semaine dans une entreprise partenaire en Israël.
« D’après notre enquête initiale, une campagne limitée de courrier électronique malveillant a été bloquée en dix minutes. La technologie ESET bloque la menace et nos clients sont en sécurité. ESET n’a pas été compromis et travaille en étroite collaboration avec son partenaire pour enquêter plus en profondeur et nous continuons à surveiller la situation », a ajouté la branche de recherche d’ESET.
« ESET Israël est exploité par une société appelée ComSecure Ltd sous la marque ESET – d’après la déclaration d’ESET, je présume que ComSecure était la partie piratée. Quoi qu’il en soit, le nom d’ESET figure sur les e-mails et les téléchargements et il a été envoyé depuis une infrastructure partenaire », a noté Beaumont.
Pour l’instant, la compromission du compte semble être l’explication la plus probable de la façon dont les attaquants ont réussi à faire basculer cela.