TA505 : nouvelle attaque DeepLink dans des documents PDF pour distribuer FlawedAmmyy RAT

1

Proofpoint fait aujourd’hui état d’une nouvelle campagne d’attaques et détaille l’abus de l’objet DeepLink dans les fichiers SettingContent-ms intégrés dans les documents PDF pour distribuer FlawedAmmyy RAT.

Les chercheurs attribuent cette campagne particulière à TA505, un acteur financièrement motivé responsable de Dridex, Locky et d’autres campagnes massives au cours des dernières années. Les cybercriminels, qu’ils soient bien établis comme TA505 ou plus récents dans le système, adoptent rapidement de nouvelles techniques de cyberattaques lorsque les auteurs de logiciels malveillants publient de nouvelles preuves de faisabilité comme DeepLink. Bien que toutes ces approches ne gagnent pas en popularité, d’autres peuvent devenir des moyens réguliers pour les acteurs de la menace d’exploiter le facteur humain.

Dans ce cas précis, TA505 agit en tant que précurseur en adaptant la technique DeepLink à une attaque basée sur PDF livrée à grande échelle.

Alors que l’abus de l’objet DeepLink dans les fichiers SettingContent-ms a déjà été communiqué concernant des documents Microsoft Word, il s’agit de la première occurrence documentée avec des fichiers incorporés dans des PDF. Les chercheurs de Proofpoint restent en veille et continuent de surveiller la façon dont les acteurs de la menace utilisent cette approche dans les semaines à venir.

Vous trouverez les détails de cette recherche dans un article que vous trouverez ici.

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.