Des attaquants ont découvert la distribution d’un outil de confidentialité malveillant pour voler des données sensibles
Français
Les cybercriminels améliorent souvent leurs tactiques de phishing pour inciter les utilisateurs involontaires à télécharger des logiciels malveillants. Dans l’une de ces nouvelles menaces de phishing découvertes par les chercheurs en sécurité de Proofpoint, les acteurs de la menace incitent les utilisateurs à ouvrir/télécharger un fichier malveillant déguisé en service d’outil de confidentialité. Cet outil est présenté comme un protecteur de fichiers et peut être utilisé pour crypter les données des utilisateurs via un service utilitaire de type zip. Les attaquants exploitent un faux site Web pour promouvoir l’outil malveillant et ont inclus des instructions sur la façon de le télécharger.
Utilisation de la charge utile du chargeur de fumée
Proofpoint a déclaré que les attaquants utilisent Chargeur de fumée comme charge utile initiale. Smoke Loader est un téléchargeur de logiciels malveillants populaire disponible sur le dark web et utilisé par plusieurs groupes de cybercriminels. Une fois qu’un utilisateur télécharge l’outil de confidentialité, Smoke Loader installe automatiquement des charges utiles de logiciels malveillants supplémentaires, notamment Ligne rouge et Voleur de raton laveur. Le malware est spécialement conçu pour exfiltrer les données sensibles du système ciblé.
Le malware RedLine a été découvert au début de 2021 et peut compromettre les portefeuilles froids qui stockent les crypto-monnaies. Raccoon Stealer est un tristement célèbre malware-as-a-service actif depuis 2019, disponible sur divers forums darknet. Le malware peut voler les données privées des utilisateurs telles que les informations d’identification, les détails de la carte de crédit, les cookies du site Web, les noms d’utilisateur, les détails du matériel, l’emplacement, le logiciel de sécurité installé, les données système et les données liées aux portefeuilles Bitcoin.
Bien que les acteurs de la menace derrière cette campagne de logiciels malveillants soient inconnus, Proofpoint a déclaré avoir identifié une adresse IP liée à OpenNIC, un fournisseur de services du domaine public.
« L’utilisation d’un leurre sur le thème de la confidentialité pour télécharger des logiciels malveillants voleurs d’informations est un mécanisme ironique mais prédateur pour inciter les utilisateurs à télécharger des logiciels malveillants. L’appât est probablement efficace car les acteurs de la menace derrière la campagne semblent avoir pris beaucoup de temps et d’efforts pour concevoir un outil de confidentialité d’apparence légitime. Sur la base d’indicateurs supplémentaires découverts, il est probable que cet acteur menaçant mène – et a déjà mené – des campagnes similaires utilisant des thèmes de confidentialité et des leurres convaincants pour distribuer Smoke Loader et les logiciels malveillants de suivi. Proofpoint s’attend à ce que ce type de thème et d’activité se poursuive, en particulier pour les consommateurs qui n’ont pas déjà installé les services de confidentialité et de sécurité d’entreprise sur leurs hôtes », a déclaré Proofpoint.
