Une campagne de phishing devoilee apres cinq ans

Les détails d’une campagne de phishing vieille de cinq ans au cours de laquelle les attaquants ont volé les informations d’identification d’utilisateurs de Google, Yahoo, Facebook, Dropbox et Skype ont été publiés.

Baptisée NightHunter par les chercheurs de la société Cyphort spécialisée en sécurité, la campagne est toujours active et aurait cherché antérieurement à obtenir les informations d’identification d’utilisateurs employés par les services des ressources humaines, des ventes et des finances de diverses sociétés actives dans le secteur de l’énergie, de l’éducation et des assurances, ainsi que dans des organisations caritatives. Personne ne peut dire à l’heure actuelle pourquoi les attaquants volaient ces données, si ce n’est pour les rassembler en vue de menaces ou de fraudes potentielles ultérieures.

McEnroe Navaraj, chercheur en sécurité chez Cyphort, écrit dans un blog : "Le recours à des méthodes d’évasion discrète comme les messageries électroniques en ligne pour transmettre les données volées semble indiquer un objectif final plus important."

Les données volées dans le cadre de cette campagne sont transmises via le protocole SMTP ou par courrier électronique. La campagne exploite également divers enregistreurs de frappes comme Predator Pain, Limitless et Spyrix pour obtenir les informations d’identification. Ces enregistreurs de frappes sont capables d’exécuter d’autres opérations comme l’obfuscation, l’effacement des données du navigateur, la prise de captures d’écran et la désactivation de produits.

"Le courrier électronique est devenu pour les réseaux sociaux ce que le courrier postal est devenu pour le courrier électronique : une mode de communication dépassé qui est souvent ignoré. Cela signifie qu’il peut être plus discret pour voler des données" explique McEnroe Navaraj.

Ces enregistreurs de frappes sont diffusés via des messages de phishing dont l’objet fait vaguement référence à des questions de RH comme "Liste des emplois", ‘Bon de commande", "Commande" ou "Demande". Ces messages possèdent des pièces jointes malveillantes au format .DOC, .ZIP et .RAR, mais McEnroe Navaraj affirme que la société a également recensé des cas impliquant des programmes d’installation IDM/7zip.

Une fois exécuté, le fichier binaire .NET vole les informations d’identification des utilisateurs et les envoie à un serveur de messagerie électronique distant.

Des milliers d’informations d’identification volées ont été dissimulées, du moins pendant un certain temps, sur des serveurs appartenant à Gmail ; 300 000 échantillons, certains remontant à 2009, ont été identifiés sur un serveur smtp.googlemail.com/smptp.gmail.com de Google lorsque les chercheurs ont examiné la campagne la semaine dernière.

Vu que le nombre d’échantillons Gmail était si élevé, Cyphort a décidé de mettre en place un mécanisme d’homme au milieu pour le trafic qui arrivait sur le site dans son laboratoire d’analyse des programmes malveillants et a découvert que de nombreux échantillons utilisaient l’obfuscation du code pour retarder les analyses.

McEnroe Navaraj écrit : "Dernièrement, Gmail semble être le serveur de messagerie le plus populaire auprès de ces criminels pour ‘stocker’ les données des victimes. La raison qui pourrait expliquer le plus grand nombre d’échantillons qui utilisent Gmail est probablement (ou certainement) la popularité de Gmail et le fait que la majorité des logiciels de sécurité place l’activité/le trafic Google/Gmail dans leur liste blanche, ce qui permet de masquer ce message plus facilement dans la masse de messages envoyés à Gmail."

Il ajoute que Gmail impose un niveau constant de restrictions, par exemple sur le nombre de fois que des messages peuvent être envoyés au cours d’une journée. Ceci a peut-être amené les attaquants à créer d’autres comptes Gmail afin de pouvoir continuer à envoyer le programme malveillant.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *