Supprimer les logiciels malveillants EnvyScout

Les hackers APT29, également suivis sous le nom de groupe Nobelium, ont récemment lancé une nouvelle campagne d'attaque, qui utilise une toute nouvelle gamme d'échantillons de logiciels malveillants. Les familles de malwares non détectées auparavant ont probablement été développées par les criminels de Nobelium et sont utilisées dans des attaques soigneusement planifiées, qui impliquent plusieurs étapes d'exécution.

Jusqu'à présent, la récente campagne a ciblé plusieurs organisations à travers le monde, dont la plus notable est l'Agence américaine pour le développement international (USAID). e-mails de spam livrant les différentes charges utiles. Les organisations ciblées couvrent un large éventail de secteurs tels que le développement, les organisations humanitaires, politiques et diverses organisations à but non lucratif.

L'une des premières charges utiles à être impliquée dans ces attaques s'appelle EnvyScout. Il s'agit d'un fichier malveillant très simple, qui utilise une combinaison de HTML et de JavaScript pour essayer de charger une image spéciale à partir d'un serveur externe. Cependant, la façon dont le chargement est effectué permet aux attaquants d'obtenir les informations d'identification Windows NTLM (NT Lan Manager) de l'utilisateur dans un état codé. Ils peuvent ensuite essayer de récupérer le mot de passe en texte brut et l'utiliser pour compromettre la machine de la victime afin de déployer des charges utiles supplémentaires.

Le logiciel malveillant EnvyScout est la toute première étape de la chaîne d'attaques que les hackers de Nobelium effectuent dans leur récente opération. Les utilisateurs doivent se méfier des e-mails suspects leur demandant de télécharger et d'afficher une pièce jointe - vous devez toujours analyser ces fichiers à l'aide d'un outil de sécurité approprié.