Méfiez-vous de l'attaque de Malspam qui propage le voleur d'informations IcedID
Les chercheurs en sécurité ont repéré une nouvelle campagne de malware dans la nature au début de 2021. La nouvelle poussée menée par les mauvais acteurs derrière elle utilise une fausse chaîne de courrier électronique pour masquer une grande campagne de spam par e-mail de phishing.
Pour crédibiliser leurs efforts, les acteurs de cette nouvelle attaque utilisent de vrais et authentiques messages électroniques, sortis des boîtes de réception de victimes déjà piratées et compromises. Les chercheurs pensent que l'organisation derrière cette nouvelle campagne est le groupe nommé TA551, parfois appelé Shathak - un acteur menaçant opérant depuis un endroit indéterminé.
Logiciels malveillants dans les spams faux mais crédibles
La campagne de spam propageant des logiciels malveillants utilise des e-mails contenant des pièces jointes sous la forme de fichiers Microsoft Word. La configuration est prévisible - les pièces jointes malveillantes du fichier Word demandent à l'utilisateur d'autoriser les macros et si les autorisations d'exécution de macro sont accordées, la chaîne d'infection est lancée. Les macros malveillantes téléchargent l'infostealer IcedID et l'installe sur le système de la victime.
Pour rendre les e-mails malveillants aussi convaincants que possible, les mauvais acteurs utilisent les e-mails de clients précédemment compromis et joignent le document Word dans une archive protégée par mot de passe. L'archive porte le nom de l'organisation ou de l'entreprise dont l'e-mail est usurpé et il y a une brève instruction supplémentaire pour utiliser le mot de passe fourni pour ouvrir l'archive.
Dans le passé, les TA551 ciblaient principalement les groupes démographiques anglophones, mais leurs attaques se sont étendues aux pays et aux populations cibles parlant également italien, allemand et japonais. Le vecteur d'infection a également changé.
Alors que TA551 utilisait auparavant le malware Valak comme téléchargeur pour IcedID, il est passé à l'utilisation de macros malveillantes dans les fichiers Microsoft Office, comme c'est le cas avec cette campagne la plus récente.
Les chercheurs s'attendent à ce que TA551 continue d'améliorer ses méthodes et trouve de nouvelles façons de propager l'infostealer et de faire de nouveaux progrès dans leurs efforts continus pour éviter la détection.