vendredi 14 août 2020
Promotion Meilleur VPN 2020
Accueil Malwares Veil-Framework infecte les systèmes des utilisateurs d'OWA victimes d'attaque ciblée de phishing

Veil-Framework infecte les systèmes des utilisateurs d’OWA victimes d’attaque ciblée de phishing

Les chercheurs de Proofpoint ont récemment observé une nouvelle attaque ciblée de phishing combinant l’hameçonnage des identifiants de connexion à Outlook Web App (OWA) au téléchargement d’un document malveillant.

En mai, nous avions déjà constaté une attaque par hameçonnage des identifiants de connexion à Office 365 menant à Keylogger iSpy, mais la combinaison d’OWA avec cette chaîne d’infection repose sur une approche différente. L’objectif principal de l’attaque était-il de diffuser une charge utile malveillante ou d’usurper les identifiants OWA des personnes ciblées ? Toujours est-il que cette attaque utilise un leurre OWA pour introduire un document malveillant avec une charge utile de Veil-Framework capable de télécharger d’autres logiciels malveillants.

Analyse

Le 24 octobre, nous avons observé ce qui nous a semblé être un modèle classique d’hameçonnage via Outlook. Comme c’est souvent le cas dans les pages d’hameçonnage OWA, certains éléments habituels de la marque manquaient à l’appel (Fig. 1).

Figure 1 : Page d’hameçonnage des identifiants de connexion à Outlook Web App

Ce modèle de fausse page OWA est visuellement identique à celui utilisé dans une attaque ciblée dont nous avons déjà parlé [2]. Il ne présente toutefois aucune autre similitude (la structure de l’URL est différente et nous n’avons pas comparé le code). La Figure 2 montre les données POST générées lorsqu’un utilisateur soumet ses identifiants dans cette page.

Figure 2 : Données POST générées suite à la soumission d’identifiants dans la fausse page OWA ; le
domaine sendsecuremail[.]com est utilisé depuis quelque temps dans les attaques de phishing

Les destinataires qui saisissent leurs identifiants OWA sont invités à télécharger un fichier.

Figure 3 : Invite à télécharger un document malveillant après la saisie des identifiants dans la page de phishing

Si l’utilisateur clique sur le lien, il est invité à télécharger un fichier XLS, comme illustré à la Figure 4 :

Figure 4 : Téléchargement de la feuille de calcul Microsoft Excel malveillante

Ce fichier XLS utilise des macros pour propager des programmes malveillants (Fig. 5), technique largement utilisée depuis des années. Dans le cas présent, le nom de fichier ViolationReport.xls emploie une astuce d’ingénierie sociale créant un sentiment d’urgence chez le destinataire afin qu’il ouvre le fichier pour déterminer rapidement la nature de la « violation » et l’erreur qu’il aurait commise.

Figure 5 : Feuille de calcul Microsoft Excel malveillante. Le nom du fichier emploie une astuce d’ingénierie sociale créant un sentiment d’urgence

Une fois activée, la macro malveillante insérée dans la feuille de calcul exécute des commandes PowerShell infectant aussi bien les systèmes 32 bits que 64 bits (Figure 6).

Figure 6 : Commande PowerShell servant à télécharger une charge utile inconnue

Ce code PowerShell télécharge une charge utile depuis une URL HTTPS codée en dur. Quatre caractères aléatoires sont ajoutés à la fin de l’URL, par exemple : hxxps://[IP_ADDRESS]:443/Rb5t.

Ce code PowerShell de téléchargement a été développé avec le module Veil-Evasion, qui fait partie intégrante de Veil-Framework, outil de test de pénétration légitime très utilisé. Généralement, Veil-Evasion est utilisé en association avec Metasploit. Ces outils permettent aux pirates de mettre en œuvre plusieurs vecteurs d’attaque à la fois ; comme son nom l’indique, le module Veil-Evasion a été conçu pour échapper à la détection, en utilisant notamment le modèle d’URL indiqué plus haut. Le recours à Veil-Evasion et le nombre restreint d’occurrences de cette menace parmi notre base clients indiquent qu’il s’agit d’une attaque plus ciblée qu’une campagne de phishing classique. Bien que l’adresse IP que le chargeur tente de contacter ne réponde pas actuellement, nous empêchant ainsi de déterminer la charge utile finale qui avait été prévue, le code Veil-Evasion charge généralement un shell meterpreter dans le processus PowerShell et reprend ce dernier dans un nouveau thread pour établir la communication avec l’attaquant.

Conclusion

Les pirates cherchent constamment à optimiser leur retour sur investissement et changent de tactique en conséquence. Dans le cas du ransomware Locky, cette évolution a pris la forme de campagnes massives d’e-mails de type « spray and pray » accompagnées de documents en pièce jointe dont le type est fréquemment modifié. Le cheval de Troie bancaire Dridex, naguère favori des campagnes à large portée, apparaît aujourd’hui quasi exclusivement dans les attaques ciblées plus restreintes. Une attaque multiple, comme c’est le cas ici, susceptible de permettre aux usurpateurs de s’emparer des identifiants Outlook Web App, améliore leur efficacité et augmente leur surface d’attaque, y compris lorsque les victimes n’installent pas la charge utile malveillante annexe. Le phishing combiné à la diffusion d’un logiciel malveillant reste relativement rare mais c’est probablement un signe avant-coureur des attaques à venir, dès lors que les cybercriminels explorent toutes les façons de rentabiliser leurs efforts au maximum. En ce qui concerne le spearphishing ou hameçonnage ciblé, l’inclusion d’une charge utile malveillante constitue également une tête de pont potentielle en vue d’autres attaques.

 

Crédits image : Flickr, Christiaan Colen

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Ransomware Maze : Après LG et Xerox, au tour de Canon d’être piégé

Le groupe de cybercriminels exploitant le ransomware Maze poursuit ses actions et agrandit son tableau de chasse en ajoutant Canon avec à la clé un vol de 10 To de données à l'entreprise après infection de ses systèmes informatiques.

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.