
Des attaques par hameçonnage utilisant une technique avancée et furtive conçue pour exfiltrer un large éventail d'informations sensibles ont été observées par les analystes des menaces de Barracuda.
Cette technique fait appel à un malware sophistiqué capable de collecter des fichiers PDF et des répertoires dans la plupart des dossiers, ainsi que des informations de navigation telles que des cookies de session, des données de carte de crédit enregistrées, des extensions liées au bitcoin, l'historique du site Web, etc. que les pirates transmettent ensuite sur un compte e-mail distant sous forme de pièce jointe zippée.
Il est inhabituel de voir des infostealers conçus pour collecter et exfiltrer un éventail aussi large d'informations. Ils recherchent généralement les mots de passe de navigateur enregistrés et parfois les portefeuilles de cryptomonnaies, mais rien d'autre.
Selon les chercheurs de Barracuda, l'attaque se déroule comme suit.
Étape 1 : l'e-mail de phishing
Dans les incidents observés par Barracuda, l'attaque commence par un email de phishing encourageant le destinataire à ouvrir un bon de commande joint. L'e-mail contient plusieurs erreurs grammaticales de base.

Tous les e-mails semblent avoir été envoyés depuis la même adresse « yunkun[@]saadelbin.com ». Le nom et les coordonnées de l'entreprise semblent tous être fictifs.
La pièce jointe, nommée « PO7z » dans les exemples vus par Barracuda, contient un fichier image de disque ISO. Un fichier ISO est un fichier d'archive qui contient une image identique des données trouvées sur un disque optique, comme un CD ou un DVD.
Le fichier image ISO contient un fichier HTA (application HTML). Un HTA est un type de fichier utilisé par Microsoft Windows pour créer des applications à l'aide de technologies Web qui s'exécutent sur le bureau plutôt que dans un navigateur Web. Cela signifie qu'ils ne sont pas limités par les fonctions de sécurité d'un navigateur Web, ce qui peut constituer un risque pour la sécurité.
Lors de l'exécution du fichier HTA, une série de charges utiles malveillantes sont téléchargées et exécutées.
Étape 2 : les charges utiles malveillantes
Lorsque le fichier HTA est exécuté, il télécharge sur le compte compromis un fichier JavaScript masqué depuis un serveur distant et l'exécute.
Ce fichier JavaScript télécharge à son tour un fichier PowerShell, le dépose dans le dossier « Temp » du compte et l'exécute.

Le script PowerShell télécharge un fichier ZIP à partir du serveur distant et le dépose également dans le dossier Temp.
Ce fichier ZIP se décompresse dans un dossier « PythonTemp ».
À partir de ce dossier, le malware infostealer, un script Python, est exécuté. Le fichier Python est ensuite mis en veille pendant trois secondes, puis il arrête le processus Python s'il est toujours en cours d'exécution et supprime tous les fichiers du dossier PythonTemp avant de se supprimer lui-même.
Le script Python est obscurci et chiffré, ce qui rend plus difficile pour les analystes de sécurité de procéder à une rétro-ingénierie de la menace.
Décodage de premier niveau

Le script passe par différents niveaux de décodage et de décryptage pour arriver au code final.
Le script déchiffre la charge utile finale

Étape 3 : l'exfiltration des données
La plupart des attaques par hameçonnage sont associées au vol de données, où les pirates cherchent à voler des identifiants, des détails de compte financier, etc. L'exfiltration de données est également un type de vol, mais elle est le plus souvent associée à des ransomware et à la suppression active d'informations du réseau, souvent en grande partie au moyen d'outils et d'exploits.
Dans le cadre de ces attaques, il s'agit d'une exfiltration de données, exécutée par un malware sophistiqué conçu pour collecter et exfiltrer un plus large éventail d'informations que les voleurs d'informations classiques.
Le malware Python, voleur d'informations
Les fonctionnalités du voleur d'informations utilisé lors de cette attaque incluent :
Collecte d'informations sur le navigateur
- Le malware est conçu pour tuer les processus du navigateur et collecter leurs MasterKeys. Il peut collecter des MasterKeys pour Chrome, Edge, Yandex et Brave.
- Il peut collecter les cookies de session des répertoires du navigateur, les mots de passe enregistrés dans les navigateurs Web, les informations de carte de crédit enregistrées, l'historique Web et de téléchargement et les informations de remplissage automatique.
- Il peut également copier tous les dossiers d'extension de navigateur liés aux bitcoins, y compris MetaMask, BNB Chain Wallet, Coinbase Wallet et Ronin Wallet.
Collecte de fichiers
- L'infostealer essaie de collecter des fichiers PDF situés dans les dossiers suivants : Bureau, Téléchargements, Documents, le dossier « Récent » de %AppData% et %Temp% \ Browser.
- Il peut copier et compresser des répertoires entiers, y compris %AppData%\Zcash, %AppData%\Armory et tous les dossiers de jeu.
Exfiltration
Le voleur d'informations zippe les informations collectées et envoie ce fichier ZIP en tant que pièce jointe à un courrier électronique adressé à « maternamedical[.]top »
- Les cookies collectés sont envoyés à « cooklielogs[@]maternamedical[.]top »
- Les fichiers PDF collectés sont envoyés à « filelogs[@]maternamedical[.]top »
- Les fichiers textes collectés sont envoyés à « minestealer8412[@]maternamedical[.]top »
- Les extensions de navigateur sont envoyées à « extensionsmtp[@]maternamedical[.]top »
La quantité d'informations collectées est importante et sensible. Les mots de passe et les cookies volés pourraient aider un pirate à se déplacer latéralement dans l'organisation, tandis que les informations de carte de crédit et les informations du portefeuille bitcoin pourraient être utilisées pour voler de l'argent.
Conclusion
L'exfiltration de données constitue une menace importante et en constante évolution pour les organisations de toutes tailles. Alors que les cybercriminels continuent de développer des méthodes sophistiquées pour voler des informations sensibles, il est important que les entreprises restent vigilantes et proactives dans leurs efforts de cybersécurité. La mise en œuvre de protocoles de sécurité robustes, la surveillance continue des activités suspectes et, plus important encore, l'éducation des employés sur les risques potentiels sont des stratégies clés pour atténuer le risque d'exfiltration de données.
Les solutions de protection des e-mails dotées d'une détection multicouche, alimentée par l'IA et l'apprentissage automatique, empêchent ces types d'attaques d'atteindre les boîtes de réception des utilisateurs. Les clients de Barracuda Networks sont protégés contre cette attaque.
Ashitosh Deshnur, analyste adjoint des menaces chez Barracuda, a également contribué aux recherches pour ce billet de blog.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter