Les cybercriminels s’attaquent aux demandeurs d’emploi aux États-Unis et en Nouvelle-Zélande pour distribuer des balises Cobalt Strike, mais aussi d’autres virus et logiciels malveillants (s’ouvre dans un nouvel onglet)aussi bien.
Des chercheurs de Cisco Talos affirment qu’un acteur menaçant inconnu envoie plusieurs leurres de phishing par e-mail, en assumant l’identité (s’ouvre dans un nouvel onglet) de l’Office of Personnel Management (OPM) des États-Unis, ainsi que de la New Zealand Public Service Association (PSA).
L’e-mail invite la victime à télécharger et à exécuter un document Word joint, affirmant qu’il contient plus de détails sur l’opportunité d’emploi.
Exécution de code à distance
Le document contient des macros qui, si elles sont exécutées, exploitent une vulnérabilité connue sous le nom de CVE-2017-0199, une faille d’exécution de code à distance corrigée en avril 2017. L’exécution de la macro entraîne le téléchargement par Word d’un modèle de document à partir d’un référentiel Bitbucket. Le modèle exécute alors une série de scripts Visual Basic qui, par conséquent, téléchargent un fichier DLL appelé « newmodeler.dll ». Cette DLL est en fait une balise Cobalt Strike.
Il existe également une autre méthode de distribution, moins compliquée, dans laquelle le téléchargeur de logiciels malveillants est récupéré directement à partir de Bitbucket.
Avec l’aide d’une balise Cobalt Strike, les acteurs de la menace peuvent exécuter à distance diverses commandes sur le terminal compromis, voler des données et se déplacer latéralement sur le réseau, le cartographier et trouver des données plus sensibles.
Les chercheurs affirment que les balises communiquent avec un serveur Ubuntu, hébergé par Alibaba et basé aux Pays-Bas. Il contient deux certificats SSL auto-signés et valides.
Cisco n’a pas nommé les acteurs de la menace derrière cette campagne, mais il y a un nom important qui s’est récemment engagé dans de nombreuses campagnes de faux emplois, et c’est le groupe Lazarus.
Le tristement célèbre acteur nord-coréen de la menace parrainé par l’État cible les développeurs de chaînes de blocs, les artistes travaillant sur des jetons non fongibles (NFT), ainsi que les experts de l’aérospatiale et les journalistes politiques avec de faux emplois, volant des crypto-monnaies et des informations précieuses.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)