Les cybercriminels ciblent les candidats aux emplois aux États-Unis et en Nouvelle-Zélande pour distribuer des balises Cobalt Strike, mais aussi d'autres virus et logiciels malveillants (ouvre dans un nouvel onglet).
Les chercheurs de Cisco Talos affirment qu'un acteur malveillant inconnu envoie plusieurs leurres de phishing par courrier électronique, en prenant l'identité (ouvre dans un nouvel onglet) de l'Office of Personnel Management (OPM) des États-Unis, ainsi que de la New Zealand Public Services Association (PSA). ). ).
L'e-mail demande à la victime de télécharger et d'exécuter un document Word joint, affirmant qu'il contient plus de détails sur l'offre d'emploi.
Exécution de code à distance
Le document contient des macros qui, si elles sont exécutées, exploitent une vulnérabilité connue sous le nom de CVE-2017-0199, une faille d'exécution de code à distance corrigée en avril 2017. L'exécution de la macro amène Word à télécharger un modèle de document à partir d'un référentiel depuis Bitbucket. Le modèle exécute ensuite une série de scripts Visual Basic, qui téléchargent à leur tour un fichier DLL appelé « newmodeler.dll ». Cette DLL est en fait une balise Cobalt Strike.
Il existe également une autre méthode de distribution moins compliquée dans laquelle le téléchargeur de logiciels malveillants est obtenu directement à partir de Bitbucket.
À l'aide d'une balise Cobalt Strike, les acteurs malveillants peuvent exécuter à distance diverses commandes sur le point final compromis, voler des données et se déplacer latéralement à travers le réseau, le cartographier et trouver des données plus sensibles.
Les chercheurs affirment que les balises communiquent avec un serveur Ubuntu hébergé par Alibaba et basé aux Pays-Bas. Contient deux certificats SSL valides et auto-signés.
Cisco n'a pas nommé les auteurs de la menace derrière cette campagne, mais il y a un nom important qui a récemment participé à de nombreuses fausses campagnes d'emploi, il s'agit du groupe Lazarus.
Le tristement célèbre acteur menaçant parrainé par l'État nord-coréen cible les développeurs de blockchain, les artistes travaillant sur des jetons non fongibles (NFT), ainsi que les experts en aérospatiale et les journalistes politiques avec de faux emplois, volant des crypto-monnaies et des informations précieuses.
Via : BleepingComputer (Ouvre dans un nouvel onglet)