Cofense, une entreprise de cybersécurité, a découvert une nouvelle campagne de phishing ciblant les utilisateurs par courrier électronique au sujet de l'assignation qui semble provenir du ministère britannique de la Justice dans le but ultime d'infecter leurs systèmes. avec des voleurs d'informations sur les logiciels malveillants.
Les employés des compagnies d'assurance et des détaillants ont reçu ces courriels de phishing indiquant que le destinataire avait été convoqué et qu'ils devaient cliquer sur un lien dans l'e-mail pour obtenir plus de détails sur leur cas.
Le lien fourni utilise des sources fiables, notamment Google Docs et Microsoft OneDrive, pour la chaîne d'infection. Bien que le lien Google Docs ne soit pas malveillant, il contient une chaîne de redirection qui mène finalement à un fichier Microsoft Word malveillant rempli de macros. Une fois exécutée, la macro télécharge un échantillon du malware Predator the Thief via PowerShell.
L'e-mail initial contient également un avertissement indiquant que le destinataire dispose de 14 jours pour se conformer à la notification d'attribution, ce qui est une tactique alarmiste conçue pour amener les utilisateurs à cliquer sur le lien dans le message.
Prédateur le voleur
Predator the Thief possède toutes les fonctionnalités de base de la plupart des voleurs d'informations. Cependant, l'un des avantages uniques de ce malware est le large éventail de navigateurs Web qu'il cible, ce qui signifie que même ceux qui utilisent un navigateur Web moins populaire peuvent être affectés.
Les auteurs de logiciels malveillants utilisent un canal Telegram pour distribuer leur produit, mais il fonctionne également comme un canal de service client.
Predator the Thief cible les portefeuilles de crypto-monnaie, les informations du navigateur, les informations d'identification FTP et les e-mails. Le malware prend également une capture d'écran de la machine infectée et ces informations sont renvoyées à un serveur de commande et de contrôle (C2) via HTTP POST.
Une fois les informations sur la cible collectées et l'échantillon envoyé à C2, le binaire nettoie certaines parties de l'infection et se termine automatiquement. Cela rend les logiciels malveillants beaucoup plus difficiles à découvrir.
Pour éviter d'être victime de cette dernière campagne de phishing, Cofense recommande de désactiver les macros par défaut de Microsoft et d'utiliser la protection des terminaux.