Barracuda full logo

Une attaque par hameçonnage furtive utilise un voleur d'informations avancé pour l'exfiltration de données

Thèmes:
14 août 2024
|

Des attaques par hameçonnage utilisant une technique avancée et furtive conçue pour exfiltrer un large éventail d'informations sensibles ont été observées par les analystes des menaces de Barracuda.

Cette technique fait appel à un malware sophistiqué capable de collecter des fichiers PDF et des répertoires dans la plupart des dossiers, ainsi que des informations de navigation telles que des cookies de session, des données de carte de crédit enregistrées, des extensions liées au bitcoin, l'historique du site Web, etc. que les pirates transmettent ensuite sur un compte e-mail distant sous forme de pièce jointe zippée.

Il est inhabituel de voir des infostealers conçus pour collecter et exfiltrer un éventail aussi large d'informations. Ils recherchent généralement les mots de passe de navigateur enregistrés et parfois les portefeuilles de cryptomonnaies, mais rien d'autre.

Selon les chercheurs de Barracuda, l'attaque se déroule comme suit.

Étape 1 : l'e-mail de phishing

Dans les incidents observés par Barracuda, l'attaque commence par un email de phishing encourageant le destinataire à ouvrir un bon de commande joint. L'e-mail contient plusieurs erreurs grammaticales de base.

Exemple d'e-mail de phishing

Tous les e-mails semblent avoir été envoyés depuis la même adresse « yunkun[@]saadelbin.com ». Le nom et les coordonnées de l'entreprise semblent tous être fictifs.

La pièce jointe, nommée « PO7z » dans les exemples vus par Barracuda, contient un fichier image de disque ISO. Un fichier ISO est un fichier d'archive qui contient une image identique des données trouvées sur un disque optique, comme un CD ou un DVD.

Le fichier image ISO contient un fichier HTA (application HTML). Un HTA est un type de fichier utilisé par Microsoft Windows pour créer des applications à l'aide de technologies Web qui s'exécutent sur le bureau plutôt que dans un navigateur Web. Cela signifie qu'ils ne sont pas limités par les fonctions de sécurité d'un navigateur Web, ce qui peut constituer un risque pour la sécurité.

Lors de l'exécution du fichier HTA, une série de charges utiles malveillantes sont téléchargées et exécutées.

Étape 2 : les charges utiles malveillantes

Lorsque le fichier HTA est exécuté, il télécharge sur le compte compromis un fichier JavaScript masqué depuis un serveur distant et l'exécute.

Ce fichier JavaScript télécharge à son tour un fichier PowerShell, le dépose dans le dossier « Temp » du compte et l'exécute.

Comment se déroule une attaque par hameçonnage

Le script PowerShell télécharge un fichier ZIP à partir du serveur distant et le dépose également dans le dossier Temp.

Ce fichier ZIP se décompresse dans un dossier « PythonTemp ».

À partir de ce dossier, le malware infostealer, un script Python, est exécuté. Le fichier Python est ensuite mis en veille pendant trois secondes, puis il arrête le processus Python s'il est toujours en cours d'exécution et supprime tous les fichiers du dossier PythonTemp avant de se supprimer lui-même.  

Le script Python est obscurci et chiffré, ce qui rend plus difficile pour les analystes de sécurité de procéder à une rétro-ingénierie de la menace.

Décodage de premier niveau 

décodage de premier niveau

Le script passe par différents niveaux de décodage et de décryptage pour arriver au code final.

Le script déchiffre la charge utile finale

décodage de dernier niveau

Étape 3 : l'exfiltration des données

La plupart des attaques par hameçonnage sont associées au vol de données, où les pirates cherchent à voler des identifiants, des détails de compte financier, etc. L'exfiltration de données est également un type de vol, mais elle est le plus souvent associée à des ransomware et à la suppression active d'informations du réseau, souvent en grande partie au moyen d'outils et d'exploits.

Dans le cadre de ces attaques, il s'agit d'une exfiltration de données, exécutée par un malware sophistiqué conçu pour collecter et exfiltrer un plus large éventail d'informations que les voleurs d'informations classiques.

Le malware Python, voleur d'informations

Les fonctionnalités du voleur d'informations utilisé lors de cette attaque incluent :

Collecte d'informations sur le navigateur

  • Le malware est conçu pour tuer les processus du navigateur et collecter leurs MasterKeys. Il peut collecter des MasterKeys pour Chrome, Edge, Yandex et Brave.
  • Il peut collecter les cookies de session des répertoires du navigateur, les mots de passe enregistrés dans les navigateurs Web, les informations de carte de crédit enregistrées, l'historique Web et de téléchargement et les informations de remplissage automatique.
  • Il peut également copier tous les dossiers d'extension de navigateur liés aux bitcoins, y compris MetaMask, BNB Chain Wallet, Coinbase Wallet et Ronin Wallet.

Collecte de fichiers

  • L'infostealer essaie de collecter des fichiers PDF situés dans les dossiers suivants : Bureau, Téléchargements, Documents, le dossier « Récent » de %AppData% et %Temp% \ Browser.
  • Il peut copier et compresser des répertoires entiers, y compris %AppData%\Zcash, %AppData%\Armory et tous les dossiers de jeu.

Exfiltration

Le voleur d'informations zippe les informations collectées et envoie ce fichier ZIP en tant que pièce jointe à un courrier électronique adressé à « maternamedical[.]top »

  • Les cookies collectés sont envoyés à « cooklielogs[@]maternamedical[.]top »
  • Les fichiers PDF collectés sont envoyés à « filelogs[@]maternamedical[.]top »
  • Les fichiers textes collectés sont envoyés à « minestealer8412[@]maternamedical[.]top »
  • Les extensions de navigateur sont envoyées à « extensionsmtp[@]maternamedical[.]top »

La quantité d'informations collectées est importante et sensible. Les mots de passe et les cookies volés pourraient aider un pirate à se déplacer latéralement dans l'organisation, tandis que les informations de carte de crédit et les informations du portefeuille bitcoin pourraient être utilisées pour voler de l'argent.

Conclusion

L'exfiltration de données constitue une menace importante et en constante évolution pour les organisations de toutes tailles. Alors que les cybercriminels continuent de développer des méthodes sophistiquées pour voler des informations sensibles, il est important que les entreprises restent vigilantes et proactives dans leurs efforts de cybersécurité. La mise en œuvre de protocoles de sécurité robustes, la surveillance continue des activités suspectes et, plus important encore, l'éducation des employés sur les risques potentiels sont des stratégies clés pour atténuer le risque d'exfiltration de données.

Les solutions de protection des e-mails dotées d'une détection multicouche, alimentée par l'IA et l'apprentissage automatique, empêchent ces types d'attaques d'atteindre les boîtes de réception des utilisateurs. Les clients de Barracuda Networks sont protégés contre cette attaque.

Ashitosh Deshnur, analyste adjoint des menaces chez Barracuda, a également contribué aux recherches pour ce billet de blog.

Rapport : les principales menaces liées aux e-mails et leur évolution
Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.