LEBIGDATA.FR I.A, Cloud & Cybersécurité
La société de cybersécurité américaine Cisco Talos a récemment découvert une campagne de malware qui cible les utilisateurs de Gmail et Outlook depuis des années. Acteurs de la menace, pays cibles … Voici les explications des chercheurs.
Une campagne passée sous silence depuis plus de deux ans !
Les chercheurs de Cisco Talos viennent de découvrir une campagne de malware qui cible des entreprises de plusieurs secteurs d'activité depuis plus de deux ans. Selon les observations des experts, la campagne aurait été lancé en novembre 2020.
Les chercheurs évoquent une campagne de phishing qui ciblent particulièrement les utilisateurs de Gmail et Outlook, mais aussi Hotmail et Yahoo. L'attaque qui implique le botnet nommé Horabot est qualifiée de sophistiquée, les malwares étant capables de prendre le contrôle total des comptes de messagerie des victimes.
Talos researchers recently discovered a new #botnet called #Horabot that can completely take over targeted users' Outlook mailbox, even using the target's contact list to send more spam https://t.co/YHD8gOBzua pic.twitter.com/n12GfpKgqe
— Cisco Talos Intelligence Group (@TalosSecurity) June 1, 2023
L'analyse de Cisco Talos a également révélé que les acteurs de la menace ciblent des organisations de plusieurs secteurs d'activité, principalement la finance, l'investissement ou encore la construction.
Les détails de la chaîne d'infection du malware
« Horabot permet à l'auteur de la menace de contrôler la boîte aux lettres Outlook de la victime, d'exfiltrer les adresses e-mail des contacts et d'envoyer des e-mails de phishing avec des pièces jointes HTML malveillantes à toutes les adresses de la boîte aux lettres de la victime », explique Chetan Raghuprasad, un des chercheurs de Cisco Talos.
Les acteurs de la menace envoient aux cibles un email feignant une notification de reçu fiscal. Comme tout email de phishing, le courriel inclut un lien qui redirige les victimes vers un faux site Web contrôlé par les hackers. Un autre lien est fourni sur le site Web, qui, une fois cliqué, télécharge un fichier RAR contenant une extension CMD.
Cette extension télécharge un nouveau script PowerShell qui récupère divers exécutables, notamment un trojan bancaire et des malwares à partir du serveur C2. Le botnet distribue également des outils de spam. Ces derniers permettent aux pirates de contrôler les boîtes aux lettres, d'exfiltrer les adresses email des contacts et d'envoyer encore plus de spams.
Tout ce processus permet de voler des informations financières sensibles. Une fois installé, le cheval de Troie bancaire peut en l'occurrence voler les identifiants de connexion des victimes, les informations sur le système d'exploitation et les frappes au clavier. Il peut également obtenir des codes de sécurité à usage unique à partir d'applications bancaires en ligne.
Gmail et Outlook : les Français doivent-ils s'inquiéter de cette campagne de malware ?
D'après les analyses effectuées par les chercheurs de Cisco Talos sur cette campagne, les acteurs de la menace seraient établis au Brésil. Les analystes ajoutent que les attaquants ciblent principalement les hispanophones. L'Uruguay, le Brésil, le Venezuela, l'Argentine, le Guatemala et le Panama font partie des principales cibles de l'attaque.
A priori, la France n'est pas concernée, mais la prudence reste de mise, le phishing étant l'une des formes de cyberattaque les plus populaires. Dans son avis de sécurité, l'équipe de Cisco Talos fournit des directives détaillées pour aider les organisations à se protéger contre Horabot et à atténuer son impact potentiel.
Ces experts en cybersécurité recommandent notamment d'utiliser l'authentification multifacteur pour se protéger contre l'accès non autorisé aux comptes de messagerie. De plus, les utilisateurs doivent maintenir leur logiciel à jour et utiliser un logiciel antivirus pour détecter et supprimer toute infection par des logiciels malveillants.
Protégez-vous de toute forme de malware en installant un logiciel de protection abouti choisi parmi notre top des meilleurs antivirus.
- Partager l'article :
