Danger ! Les URL Google peuvent dissimuler des malwares

Selon une nouvelle étude de Microsoft, les cybercriminels ont commencé à tirer parti des formulaires de contact d’un site web pour fournir des logiciels malveillants et le cheval de Troie bancaire IcedID à des employés d’entreprise peu méfiants.

Abus des infrastructures légitimes

L’équipe Microsoft 365 Defender Threat Intelligence a suivi une nouvelle campagne dans laquelle les attaquants abusent de l’infrastructure légitime dont les formulaires de contact de site web et les URL Google. Ceci pour contourner les filtres de sécurité des e-mails.

Selon Microsoft, ces attaques commencent par des e-mails contenant des menaces juridiques affirmant que le destinataire aurait utilisé ses images ou illustrations sans consentement et qu’une action en justice sera intentée contre eux. Ces e-mails créent un sentiment d’urgence, car les destinataires voudront probablement éviter d’être poursuivis et le lien site.google.com utilisé par les attaquants rend leurs menaces plus légitimes.

IcedID et méthode de diffusion : prudence

Certes, cette campagne spécifique délivre le malware IcedID. Mais la méthode de diffusion peut être utilisée pour distribuer un large éventail d’autres malwares qui peuvent à leur tour introduire d’autres menaces dans une entreprise. IcedID lui-même est un cheval de Troie bancaire qui a évolué pour devenir un point d’entrée pour des menaces plus sophistiquées, comme les ransomwares à commande humaine. 

Il se connecte à un serveur de commande et de contrôle puis télécharge des implants et des outils supplémentaires. Cela permet aux attaquants d’effectuer des attaques au clavier, de voler des informations d’identification et de se déplacer latéralement sur les réseaux affectés pour fournir des charges utiles supplémentaires. 

Comme cette nouvelle campagne est capable de diffuser un large éventail de logiciels malveillants, les employés doivent être à l’affût de tout e-mail suspect affirmant qu’ils enfreignent les droits d’auteur. Ils doivent également éviter de cliquer sur des liens dans les e-mails d’expéditeurs inconnus.

Se protéger

Si un employé ciblé décide de cliquer sur le lien site.google.com, la page télécharge automatiquement un fichier ZIP contenant un fichier JavaScript qui télécharge le logiciel malveillant IcedID sous forme de fichier .DAT. Cependant, un composant du kit de test d’intrusion Cobalt Strike est également téléchargé et cela permet aux cybercriminels derrière la campagne de contrôler l’appareil d’un utilisateur sur Internet.

Protéger les appareils contre les virus avec le meilleur logiciel de suppression de malware reste la meilleure solution contre les ransomwares. Après avoir découvert la campagne, Microsoft a contacté l’équipe de sécurité de Google qui étudie déjà la question.

Pin It on Pinterest