Remarque : cet article a été initialement publié sur SmarterMSP.
Cette alerte de menace pour la cybersécurité se concentre sur une campagne d'hameçonnage sophistiquée qui utilise un document Microsoft Word pour diffuser un trio de menaces. Les menaces sont Agent Tesla, OriginBotnet et RedLine Clipper, et sont conçues pour recueillir un large éventail d'informations provenant de machines Windows compromises.
Nature de la menace
Une nouvelle campagne d'hameçonnage sophistiquée qui fournit un document Word comme pièce jointe a été découverte. La pièce jointe présente une image délibérément floue et un reCAPTCHA contrefait pour inciter les destinataires à cliquer sur celle-ci. Une fois que la victime clique sur l'image floue, le chargeur utilise une stratégie de piratage par remplissage binaire qui ajoute des octets nuls pour augmenter la taille du fichier à 400 Mo et commence à recueillir des informations sur la machine Windows compromise.
Pourquoi est-ce important ?
Cette campagne d'hameçonnage implique une chaîne d'évènements complexe, en commençant par des documents Word malveillants diffusés via des e-mails d'hameçonnage, incitant les victimes à télécharger un chargeur qui exécute une série de charges utiles qui installent le logiciel malveillant. Cette attaque utilise des techniques sophistiquées pour échapper à la détection et se maintenir sur les systèmes compromis. OriginBotnet est utilisé pour l'enregistrement de frappe et la récupération des mots de passe, RedLine Clipper pour le vol de cryptomonnaies et Agent Tesla pour la collecte d'informations sensibles.
Quel est le risque ou le degré d'exposition ?
En raison de la nature sophistiquée de cette campagne d'hameçonnage, les utilisateurs sont exposés à un risque élevé s'ils ouvrent ces e-mails, en raison de la capacité du logiciel malveillant à échapper aux systèmes de détection et à se maintenir dans le système. Les e-mails d'hameçonnage qui semblent attrayants représentent toujours un risque. Il est important de sensibiliser les utilisateurs aux nouvelles campagnes d'hameçonnage et de leur rappeler de rester vigilants lorsqu'ils consultent leurs e-mails.
Quelles sont les recommandations ?
Barracuda MSP recommande les actions suivantes pour prévenir ou limiter l’impact de cette campagne d'hameçonnage :
- Utilisez Barracuda XDR Endpoint Security qui inclut l'analyse comportementale pour détecter et répondre rapidement aux fichiers anormaux et au comportement des processus.
- Vérifiez les URL de votre service de filtrage Web pour détecter les indications « malveillantes » potentielles.
- Organisez régulièrement une formation de sensibilisation à la sécurité pour informer les employés sur les tactiques d’hameçonnage récentes et sur la façon de les repérer.
- Segmentez votre réseau pour isoler les systèmes et les données critiques des zones moins sécurisées.
RÉFÉRENCES
Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :
Si vous avez des questions au sujet de cette alerte de menace pour la cybersécurité, veuillez contacter notre "Security Operations Center".
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
