Infos

Une campagne de phishing devoilee apres cinq ans

Les détails d’une campagne de phishing vieille de cinq ans au cours de laquelle les attaquants ont volé les informations d’identification d’utilisateurs de Google, Yahoo, Facebook, Dropbox et Skype ont été publiés.

Baptisée NightHunter par les chercheurs de la société Cyphort spécialisée en sécurité, la campagne est toujours active et aurait cherché antérieurement à obtenir les informations d’identification d’utilisateurs employés par les services des ressources humaines, des ventes et des finances de diverses sociétés actives dans le secteur de l’énergie, de l’éducation et des assurances, ainsi que dans des organisations caritatives. Personne ne peut dire à l’heure actuelle pourquoi les attaquants volaient ces données, si ce n’est pour les rassembler en vue de menaces ou de fraudes potentielles ultérieures.

McEnroe Navaraj, chercheur en sécurité chez Cyphort, écrit dans un blog : "Le recours à des méthodes d’évasion discrète comme les messageries électroniques en ligne pour transmettre les données volées semble indiquer un objectif final plus important."

Les données volées dans le cadre de cette campagne sont transmises via le protocole SMTP ou par courrier électronique. La campagne exploite également divers enregistreurs de frappes comme Predator Pain, Limitless et Spyrix pour obtenir les informations d’identification. Ces enregistreurs de frappes sont capables d’exécuter d’autres opérations comme l’obfuscation, l’effacement des données du navigateur, la prise de captures d’écran et la désactivation de produits.

"Le courrier électronique est devenu pour les réseaux sociaux ce que le courrier postal est devenu pour le courrier électronique : une mode de communication dépassé qui est souvent ignoré. Cela signifie qu’il peut être plus discret pour voler des données" explique McEnroe Navaraj.

Ces enregistreurs de frappes sont diffusés via des messages de phishing dont l’objet fait vaguement référence à des questions de RH comme "Liste des emplois", ‘Bon de commande", "Commande" ou "Demande". Ces messages possèdent des pièces jointes malveillantes au format .DOC, .ZIP et .RAR, mais McEnroe Navaraj affirme que la société a également recensé des cas impliquant des programmes d’installation IDM/7zip.

Une fois exécuté, le fichier binaire .NET vole les informations d’identification des utilisateurs et les envoie à un serveur de messagerie électronique distant.

Des milliers d’informations d’identification volées ont été dissimulées, du moins pendant un certain temps, sur des serveurs appartenant à Gmail ; 300 000 échantillons, certains remontant à 2009, ont été identifiés sur un serveur smtp.googlemail.com/smptp.gmail.com de Google lorsque les chercheurs ont examiné la campagne la semaine dernière.

Vu que le nombre d’échantillons Gmail était si élevé, Cyphort a décidé de mettre en place un mécanisme d’homme au milieu pour le trafic qui arrivait sur le site dans son laboratoire d’analyse des programmes malveillants et a découvert que de nombreux échantillons utilisaient l’obfuscation du code pour retarder les analyses.

McEnroe Navaraj écrit : "Dernièrement, Gmail semble être le serveur de messagerie le plus populaire auprès de ces criminels pour ‘stocker’ les données des victimes. La raison qui pourrait expliquer le plus grand nombre d’échantillons qui utilisent Gmail est probablement (ou certainement) la popularité de Gmail et le fait que la majorité des logiciels de sécurité place l’activité/le trafic Google/Gmail dans leur liste blanche, ce qui permet de masquer ce message plus facilement dans la masse de messages envoyés à Gmail."

Il ajoute que Gmail impose un niveau constant de restrictions, par exemple sur le nombre de fois que des messages peuvent être envoyés au cours d’une journée. Ceci a peut-être amené les attaquants à créer d’autres comptes Gmail afin de pouvoir continuer à envoyer le programme malveillant.

Threatpost

Une campagne de phishing devoilee apres cinq ans

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception