Publié par UnderNews Actu - Télécharger l'application Android

Les chercheurs de Proofpoint ont récemment observé une nouvelle attaque ciblée de phishing combinant l’hameçonnage des identifiants de connexion à Outlook Web App (OWA) au téléchargement d’un document malveillant.

En mai, nous avions déjà constaté une attaque par hameçonnage des identifiants de connexion à Office 365 menant à Keylogger iSpy, mais la combinaison d’OWA avec cette chaîne d’infection repose sur une approche différente. L’objectif principal de l’attaque était-il de diffuser une charge utile malveillante ou d’usurper les identifiants OWA des personnes ciblées ? Toujours est-il que cette attaque utilise un leurre OWA pour introduire un document malveillant avec une charge utile de Veil-Framework capable de télécharger d’autres logiciels malveillants.

Analyse

Le 24 octobre, nous avons observé ce qui nous a semblé être un modèle classique d’hameçonnage via Outlook. Comme c’est souvent le cas dans les pages d’hameçonnage OWA, certains éléments habituels de la marque manquaient à l’appel (Fig. 1).

Figure 1 : Page d’hameçonnage des identifiants de connexion à Outlook Web App

Ce modèle de fausse page OWA est visuellement identique à celui utilisé dans une attaque ciblée dont nous avons déjà parlé [2]. Il ne présente toutefois aucune autre similitude (la structure de l’URL est différente et nous n’avons pas comparé le code). La Figure 2 montre les données POST générées lorsqu’un utilisateur soumet ses identifiants dans cette page.

Figure 2 : Données POST générées suite à la soumission d’identifiants dans la fausse page OWA ; le
domaine sendsecuremail[.]com est utilisé depuis quelque temps dans les attaques de phishing

Les destinataires qui saisissent leurs identifiants OWA sont invités à télécharger un fichier.

Figure 3 : Invite à télécharger un document malveillant après la saisie des identifiants dans la page de phishing

Si l’utilisateur clique sur le lien, il est invité à télécharger un fichier XLS, comme illustré à la Figure 4 :

Figure 4 : Téléchargement de la feuille de calcul Microsoft Excel malveillante

Ce fichier XLS utilise des macros pour propager des programmes malveillants (Fig. 5), technique largement utilisée depuis des années. Dans le cas présent, le nom de fichier ViolationReport.xls emploie une astuce d’ingénierie sociale créant un sentiment d’urgence chez le destinataire afin qu’il ouvre le fichier pour déterminer rapidement la nature de la « violation » et l’erreur qu’il aurait commise.

PIA VPN

Figure 5 : Feuille de calcul Microsoft Excel malveillante. Le nom du fichier emploie une astuce d’ingénierie sociale créant un sentiment d’urgence

Une fois activée, la macro malveillante insérée dans la feuille de calcul exécute des commandes PowerShell infectant aussi bien les systèmes 32 bits que 64 bits (Figure 6).

Figure 6 : Commande PowerShell servant à télécharger une charge utile inconnue

Ce code PowerShell télécharge une charge utile depuis une URL HTTPS codée en dur. Quatre caractères aléatoires sont ajoutés à la fin de l’URL, par exemple : hxxps://[IP_ADDRESS]:443/Rb5t.

Ce code PowerShell de téléchargement a été développé avec le module Veil-Evasion, qui fait partie intégrante de Veil-Framework, outil de test de pénétration légitime très utilisé. Généralement, Veil-Evasion est utilisé en association avec Metasploit. Ces outils permettent aux pirates de mettre en œuvre plusieurs vecteurs d’attaque à la fois ; comme son nom l’indique, le module Veil-Evasion a été conçu pour échapper à la détection, en utilisant notamment le modèle d’URL indiqué plus haut. Le recours à Veil-Evasion et le nombre restreint d’occurrences de cette menace parmi notre base clients indiquent qu’il s’agit d’une attaque plus ciblée qu’une campagne de phishing classique. Bien que l’adresse IP que le chargeur tente de contacter ne réponde pas actuellement, nous empêchant ainsi de déterminer la charge utile finale qui avait été prévue, le code Veil-Evasion charge généralement un shell meterpreter dans le processus PowerShell et reprend ce dernier dans un nouveau thread pour établir la communication avec l’attaquant.

Conclusion

Les pirates cherchent constamment à optimiser leur retour sur investissement et changent de tactique en conséquence. Dans le cas du ransomware Locky, cette évolution a pris la forme de campagnes massives d’e-mails de type « spray and pray » accompagnées de documents en pièce jointe dont le type est fréquemment modifié. Le cheval de Troie bancaire Dridex, naguère favori des campagnes à large portée, apparaît aujourd’hui quasi exclusivement dans les attaques ciblées plus restreintes. Une attaque multiple, comme c’est le cas ici, susceptible de permettre aux usurpateurs de s’emparer des identifiants Outlook Web App, améliore leur efficacité et augmente leur surface d’attaque, y compris lorsque les victimes n’installent pas la charge utile malveillante annexe. Le phishing combiné à la diffusion d’un logiciel malveillant reste relativement rare mais c’est probablement un signe avant-coureur des attaques à venir, dès lors que les cybercriminels explorent toutes les façons de rentabiliser leurs efforts au maximum. En ce qui concerne le spearphishing ou hameçonnage ciblé, l’inclusion d’une charge utile malveillante constitue également une tête de pont potentielle en vue d’autres attaques.

 

Crédits image : Flickr, Christiaan Colen

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , , , , , , , , ,

Recherches en relation :

  • veil framework

Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.