fr.wedoany.com Rapport : ESTsecurity a découvert un nouveau type d'attaque de harponnage (spear phishing). Les attaquants envoient des e-mails avec des objets tels que « Demande de confirmation de suspicion de fuite d'informations personnelles », adressant d'abord des courriels déguisés aux responsables opérationnels réels d'une entreprise. Après avoir établi une confiance par le biais de multiples échanges, ils les incitent à télécharger un fichier malveillant. L'attaque en elle-même est un harponnage classique, mais lorsque le lien malveillant dans l'e-mail est bloqué par une solution de sécurité, l'attaquant rassure l'utilisateur avec des arguments comme « Il semble s'agir d'un faux positif », l'incitant ainsi à ouvrir le lien.

D'après un cas détecté par le système de détection des menaces APT du centre de réponse à la sécurité d'ESTsecurity (ESRC), l'attaquant a d'abord échangé plusieurs courriels normaux avec le responsable opérationnel réel d'une entreprise spécifique pour établir une confiance, puis l'a incité à exécuter un fichier malveillant. Lors de la première tentative, le lien malveillant dans l'e-mail ayant été bloqué par la solution de sécurité de l'entreprise, l'attaquant a rassuré le responsable en affirmant : « Après vérification par l'équipe de sécurité interne, aucun problème n'a été détecté, il s'agit probablement d'un faux positif ». Par la suite, pour contourner la surveillance de l'antivirus, l'attaquant a renvoyé le code malveillant sous forme d'un fichier compressé protégé par mot de passe. Lorsque l'utilisateur décompresse et exécute un fichier de raccourci Windows (LNK) malveillant déguisé en document ordinaire, PowerShell 32 bits est appelé de force en arrière-plan, contournant ainsi la détection de certaines solutions de sécurité. L'utilisateur voit un document normal Excel (XLSX) ou PDF sur l'état actuel du client, mais les informations système ont déjà été volées et des actions malveillantes supplémentaires sont exécutées.

Pour éviter la détection, l'attaquant a utilisé deux frameworks. Le premier exploite l'API normale du service cloud Dropbox comme serveur de commande et de contrôle (C2), vole les informations du PC et inclut des fonctions de détection d'analyse en environnement virtuel. Le second communique directement avec un serveur HTTPS appartenant à l'attaquant, enregistre un fichier déguisé en mise à jour automatique d'un logiciel de sécurité coréen bien connu dans les éléments de démarrage, assurant ainsi la persistance et dissimulant les commandes. Après une analyse minutieuse de trois échantillons de logiciels malveillants collectés, l'ESRC a confirmé qu'ils partagent tous la même structure interne et le même document leurre déguisé en état actuel du client, ce qui indique que le même groupe d'attaquants, dans le cadre de la même campagne, change d'outils en fonction de la situation. Les caractéristiques communes identifiées incluent : une ingénierie sociale sophistiquée impliquant de multiples échanges de courriels sous prétexte de fuite d'informations personnelles ; une chaîne de pénétration commune via l'exécution initiale identique de fichiers LNK et l'utilisation de documents leurres en coréen ; l'exploitation simultanée de services cloud normaux et de domaines personnels pour garantir des canaux de remplacement en cas de blocage, avec une infrastructure de commande et de contrôle (C2) multiple ; des indicateurs ciblant des organisations coréennes, tels que l'identifiant de campagne « Pan » et le déguisement en logiciel de sécurité coréen.

Un responsable de l'ESRC a souligné que cette attaque, en se faisant passer pour une fuite d'informations personnelles, une préoccupation majeure des responsables de la sécurité, a évité les soupçons. Il a rappelé que même si l'expéditeur est une personne externe et que la conversation se déroule naturellement, il faut être extrêmement prudent lors de l'exécution de pièces jointes ou de l'ouverture de liens. Ce responsable a averti que si un fichier bloqué par une solution de sécurité est présenté comme un faux positif et renvoyé sous forme de fichier compressé protégé par mot de passe, il s'agit d'un signal d'attaque évident à ne jamais exécuter. Les employés opérationnels des entreprises doivent désactiver l'option « Masquer les extensions des fichiers dont le type est connu » dans les paramètres de l'Explorateur Windows et vérifier l'extension réelle (LNK, EXE, etc.) avant toute exécution, en adoptant des habitudes de sécurité.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com