Les acteurs menaçants utilisent Smishing pour cibler les citoyens iraniens

  • FrançaisFrançais



  • Les chercheurs en sécurité de Check Point ont découvert des campagnes de logiciels malveillants en cours ciblant les citoyens iraniens. La campagne aurait utilisé des messages SMS d’ingénierie sociale pour infecter des dizaines de milliers d’appareils de victimes.

    Les chercheurs ont déclaré que les attaquants utilisaient des messages spécialement conçus pour se faire passer pour des responsables du gouvernement iranien afin d’inciter les victimes à télécharger des applications Android malveillantes qui volent des données de carte de crédit, des messages personnels et des codes d’authentification à deux facteurs. Une fois que les attaquants ont mis la main sur les données, ils effectuent des retraits d’argent non autorisés et transforment chaque appareil infecté en un bot pour propager le malware sur d’autres appareils.

    Les attaquants ont utilisé le smishing

    Les acteurs de la menace ont utilisé la technique Smishing pour distribuer le malware. Dans les attaques par Smishing, les fraudeurs envoient un message spécialement conçu (SMS), incitant l’utilisateur à cliquer sur une URL malveillante cachée dans le texte. En outre, les attaquants ont utilisé plusieurs canaux Telegram pour promouvoir et vendre leurs outils malveillants.

    “Pour 50 $ à 150 $, les acteurs de la menace fournissent un” kit de campagne Android “complet comprenant l’application malveillante et l’infrastructure sous-jacente, avec un panneau de contrôle qui peut être facilement géré par tout attaquant non qualifié via une simple interface de bot Telegram”, ont déclaré les chercheurs.

    La porte dérobée Android utilisée dans cette campagne est capable de :

    • vol de SMS
    • Se cacher pour maintenir la persistance
    • Contourner 2FA :
    • Capacités du botnet
    • Vermabilité

    Lire aussi : Comment trouver un e-mail d’hameçonnage

    Comment fonctionne la campagne

    • La distribution du malware commence par un SMS de phishing. Dans de nombreux cas, il s’agit d’un message d’un système de notification judiciaire électronique qui notifie à la victime qu’une nouvelle plainte a été ouverte contre elle. Le message SMS contient le lien vers une page Web pour le suivi de la plainte.
    • La page Web incite l’utilisateur à télécharger une application Android malveillante et à saisir des données de carte de crédit sous prétexte de frais de service minimes.
    • Une fois installée, l’application Android malveillante vole tous les messages SMS de l’appareil infecté, permettant aux attaquants d’utiliser la carte de crédit avec accès aux SMS 2FA envoyés par les sociétés de cartes de crédit.
    • L’application malveillante vérifie le serveur C&C contrôlé par l’attaquant pour de nouvelles commandes à exécuter périodiquement. Le plus notable est la commande permettant de diffuser des messages SMS de phishing supplémentaires vers une liste de nouveaux numéros de téléphone.

    Vols de rials iraniens en milliards

    Check Point soupçonne que la campagne a compromis et installé des logiciels malveillants sur des dizaines de milliers d’appareils Android, entraînant le vol de milliards de rials iraniens aux victimes, avec des estimations de 1 000 à 2 000 dollars par victime.

    Alexandra Gofman, chef d’équipe Threat Intelligence chez Check Point Software, a déclaré : « La population générale de l’Iran est dans une situation croissante où les cyberattaques ont un impact significatif sur la vie de tous les jours. Ces attaques ont commencé avec les chemins de fer, que nous avons attribués à un groupe appelé Indra. Les attaques se sont poursuivies avec les stations-service puis la compagnie nationale d’aviation. Aujourd’hui, nous assistons à une autre cyberattaque qui montre à quel point même la cybercriminalité pure peut faire les gros titres et le chaos, blessant de nombreuses personnes en Iran. Bien que nous ne voyions pas de lien direct entre ces dernières cyberattaques et les attaques majeures susmentionnées, nos dernières informations montrent à quel point même des cyberattaques non sophistiquées nuisent considérablement à la population iranienne en général. Nous pensons que ces récentes cyberattaques sont motivées par des considérations financières et constituent une forme de pure cybercriminalité. Nous soupçonnons que les acteurs de la menace impliqués viennent probablement d’Iran lui-même. »

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.