Les chercheurs en cybersécurité ont repéré une autre campagne de faux emplois distribuant des logiciels malveillants mortels.
Le dernier rapport de Mandiant (s’ouvre dans un nouvel onglet) découvert qu’une nouvelle version d’un logiciel malveillant connu (s’ouvre dans un nouvel onglet) menace Ursnif (également connu sous le nom de Gozi) a été signalé dans la nature.
Contrairement aux versions précédentes, celle-ci ne comporte pas ses fonctionnalités habituelles de cheval de Troie bancaire, ce qui incite les chercheurs à supposer que le malware est modifié pour distribuer un ransomware.
Fausses offres d’emploi sur LinkedIn
Mandiant a baptisé cette version LDR4, après l’avoir repérée fin juin 2022. Pour diffuser le malware, les acteurs de la menace créent de faux comptes LinkedIn, se faisant passer pour des recruteurs pour de grandes entreprises. Après avoir atteint leurs cibles et engagé une conversation pour établir une certaine légitimité, ils partagent un lien.
Le site Web lié demande ensuite aux victimes de résoudre un défi CAPTCHA pour télécharger un document Excel qui prétend offrir plus de détails sur la position, mais contient en fait une macro malveillante qui récupère le logiciel malveillant à distance.
Comme LDR4 se présente sous la forme d’un fichier .DLL (loader.dll), est emballé par des crypteurs exécutables portables et est signé avec des certificats valides, il échappe à la détection de certains antivirus (s’ouvre dans un nouvel onglet) solutions, ont averti les chercheurs.
Une fois le fichier .DLL exécuté, il collecte les données de service système à partir du registre Windows et génère un ID utilisateur et système. Il se connecte également au serveur de commande et de contrôle du malware (C2) pour obtenir la liste des commandes qu’il doit exécuter.
Actuellement, les chercheurs ne peuvent pas confirmer à 100 % la fin de partie d’Ursnif, mais ils ont noté qu’un acteur menaçant aurait été observé en train de demander à des partenaires de distribuer des rançongiciels et la version RM3 d’Ursnif via des forums de piratage souterrains.
La dernière fois que nous avons entendu parler d’Ursnif, c’était en janvier 2022, lorsque HP Wolf Security a observé sa distribution, via des fichiers Excel militarisés, parmi les utilisateurs italophones.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)