Support technique
Documentation
Connexion
Nous contacter
Une nouvelle campagne de phishing utilise des captures d'écran pour diffuser des logiciels malveillants.
Obanla Opeyemi
21 février 2023 - L'équipe d'experts de TuxCare
Les chercheurs de Proofpoint Threat Research ont découvert une nouvelle campagne de phishing qui utilise des captures d'écran pour transmettre un logiciel malveillant à des victimes peu méfiantes.
L'attaquant envoie un courriel avec une capture d'écran en pièce jointe qui, lorsqu'elle est ouverte, lance une macro qui télécharge et exécute le logiciel malveillant. Comme les courriels sont déguisés en courriels internes légitimes provenant du service informatique de l'entreprise, les attaquants semblent viser des cadres supérieurs.
Selon Proofpoint, pour qu'une compromission soit réussie, un utilisateur doit cliquer sur un lien malveillant et, si le filtrage est réussi, interagir avec un fichier JavaScript pour télécharger et exécuter des charges utiles supplémentaires. " Les organisations devraient sensibiliser les utilisateurs finaux à cette technique et les encourager à signaler les courriels et autres activités suspectes ", ont déclaré les chercheurs.
Les courriels d'hameçonnage sont de nature urgente et demandent aux destinataires d'examiner un document ou un rapport joint. L'e-mail demande au destinataire d'accéder au document en cliquant sur un bouton ou un lien, ce qui télécharge le logiciel malveillant sur l'appareil du destinataire.
Le malware de cette campagne est un cheval de Troie d'accès à distance (RAT), qui permet à l'attaquant d'accéder à l'appareil de la victime et de le contrôler. Il est possible de capturer les frappes au clavier, de faire des captures d'écran et de voler des données sensibles telles que des mots de passe, des e-mails et des informations financières.
Le screenshotter est un simple utilitaire qui prend une capture d'écran JPG du bureau de l'utilisateur et l'envoie à un C2 distant via un POST vers une adresse IP codée en dur. Cela aide l'acteur de la menace pendant les phases de reconnaissance et de profilage de la victime. Proofpoint a découvert plusieurs variantes de Screenshotter, notamment des variantes basées sur Python, sur AutoIT et sur JavaScript/IrfanView. Toutes remplissent la même fonction, et le protocole réseau est le même.
L'utilisation de captures d'écran dans cette campagne est une nouvelle tactique qui rend les solutions traditionnelles de sécurité du courrier électronique difficiles à détecter et à bloquer les courriels de phishing. Les attaquants peuvent facilement éviter la détection en utilisant une capture d'écran légitime de l'entreprise ciblée, ce qui rend le message plus crédible pour le destinataire.
Le code de Screenshotter est contenu dans un paquet MSI (SHA256 : 02049ab62c530a25f145c0a5c48e3932fa7412a037036a96d7198cc57cef1f40). Le paquet comprend lumina.exe, une copie non modifiée de IrfanView version 4.62, et app.js, le premier fichier du paquet MSI. Il exécute lumina.exe, qui capture une image du bureau et l'enregistre au format JPG, ainsi que index.js, le deuxième fichier exécuté par le paquet MSI.
Les sources de cette pièce incluent un article dans SCMedia.
Suivez cette actualité sur notre chaîne Youtube : https://www.youtube.com/watch?v=gRtQZ3ljvrE
