Certains articles de veille peuvent faire l'objet de traduction automatique.
Les chercheurs ont mis en garde les utilisateurs contre une nouvelle campagne malveillante qui analyse et profile les victimes potentielles avant de cibler. Identifié comme « Screenshotter », le logiciel malveillant prend des captures d’écran sur les machines de la victime pour les partager avec les attaquants.
Capture d’écran de la campagne contre les logiciels malveillants Active In The Wild
Selon un récent poste de Proofpoint, leur équipe de recherche a observé une campagne malveillante dans la nature qui dresse le profil de victimes potentielles.
La campagne, identifiée comme « Screentime », semble motivée financièrement et implique plusieurs logiciels malveillants pour effectuer diverses activités.
L’un d’eux comprend le « Screenshotter » qui prend et partage des captures d’écran des machines victimes avec les attaquants. Alors que l’autre logiciel malveillant est le programme d’installation de WasabiSeed qui exécute un script VBS intégré pour télécharger Screenshotter et d’autres charges utiles supplémentaires. De plus, WasabiSeed aide également les acteurs de la menace à obtenir un accès permanent à l’appareil victime.
En bref, l’attaque commence par des e-mails de phishing envoyés à l’organisation cible. Pour attirer les employés, les e-mails incluent des lignes d’objet et des messages donnant une impression d’entreprise, comme demander au destinataire de vérifier une présentation.
Comme toujours, les e-mails incluent l’URL malveillante, ce qui déclenche le téléchargement du fichier JavaScript. Si la victime clique et que le JavaScript s’exécute, il télécharge WasabiSeed, suivi du logiciel malveillant Screenshotter.
Après avoir reçu les captures d’écran de la machine victime, les acteurs de la menace analysent s’il convient de poursuivre l’attaque. Si la victime semble lucrative, l’attaquant installe d’autres charges utiles pour exécuter l’attaque, comme le bot AHK, qui télécharge le profileur de domaine et le voleur de données.
De plus, l’attaque implique également le déploiement d’un voleur de données de la famille de logiciels malveillants Rhadamanthys. Il peut voler des informations sensibles telles que les informations d’identification stockées, les cookies Web, les portefeuilles cryptographiques, les clients FTP, les comptes Telegram et Steam et les configurations VPN.
Les chercheurs ont partagé une analyse technique détaillée de la campagne dans leur message.
Origine russe possible
Les acteurs de la menace derrière cette campagne, identifiés comme TA886, ont apparemment une origine russe, étant donné la présence de la langue russe dans les codes.
De plus, les campagnes, qui sont en cours depuis octobre 2022, visent généralement des organisations aux États-Unis et en Allemagne.
Alors que les campagnes semblent motivées financièrement, les chercheurs n’excluent pas la possibilité d’un cyberespionnage associé à ces attaques.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire