Une nouvelle campagne de spear phishing tente d'imposer des logiciels malveillants aux entreprises énergétiques et à leurs fournisseurs avec des e-mails astucieusement usurpés, qui sont ensuite censés être utilisés pour espionner les données d'accès.
Les sociétés énergétiques, pétrolières et gazières et d'autres industries connexes sont actuellement au centre d'une campagne de phishing sophistiquée, selon la société de cybersécurité Intezer. La campagne, active depuis au moins un an, vise à injecter des logiciels malveillants dans les réseaux de l'entreprise, qui espionnent ensuite les noms d'utilisateur, les mots de passe et d'autres informations sensibles et les transmettent aux bailleurs de fonds criminels. Selon les experts en sécurité d'Intezer, les cas actuels pourraient être la première phase d'une campagne plus vaste.
Courriels de phishing exceptionnellement bien construits
Il est frappant de constater que les e-mails de phishing décrits ont fait l'objet de recherches exceptionnellement approfondies et semblent donc légitimes à première vue. Par exemple, ils contiennent des références à des dirigeants, des adresses de bureaux, des logos officiels et des demandes de devis, des contrats et font référence à des projets réels afin de paraître authentiques. Dans un cas décrit par les chercheurs en sécurité, un projet de centrale électrique spécifique a été utilisé comme appât dans l'e-mail de phishing. Avec des campagnes aussi bien étudiées et préparées, on parle de spear phishing, car contrairement au phishing normal, les criminels procèdent de manière très méthodique et attaquent une cible bien précise, au lieu de diffuser leurs e-mails aussi largement que possible dans l'espoir que quelqu'un entrer dans leur piège tombe.
PDF dangereux joint
Dans le cas présent, les victimes sont censées être amenées à cliquer sur une pièce jointe déguisée en PDF. En fait, cependant, il s'agit d'un fichier IMG, ISO ou CAB qui redirige l'utilisateur vers un fichier exécutable, qui à son tour est utilisé pour introduire le malware sur l'ordinateur. Divers outils d'accès à distance sont utilisés, c'est-à-dire des logiciels d'accès à distance, tels que Formbook, Agent Tesla ou Loki, qui sont souvent proposés en tant que Malware-as-a-Service. Cela signifie que les personnes à l'origine de la campagne ne développent pas elles-mêmes leurs outils, mais les utilisent simplement sur commande. Les chercheurs en sécurité d'Intezer avertissent que cela vise à mieux déguiser la campagne, car le logiciel malveillant loué est également utilisé dans d'autres activités criminelles. Ceci, à son tour, pourrait être une indication que les cas en question sont la première étape d'une campagne plus large.
Attaque contre des sociétés pétrolières, gazières et énergétiques
Les e-mails ont été envoyés à des entreprises internationales actives dans les secteurs du pétrole, du gaz et de l'énergie, ainsi que dans la fabrication et le développement technologique. Parmi eux figurent des victimes aux États-Unis, aux Émirats arabes unis, en Allemagne et en Corée du Sud. Rien n'est actuellement connu sur les personnes derrière les attentats.
Des parties de l'infrastructure utilisée ont depuis été supprimées ou éteintes, mais il n'est pas improbable que la campagne soit toujours active. Les entreprises doivent donc être extrêmement prudentes en ce qui concerne les e-mails entrants. Les pièces jointes et les liens en particulier présentent un risque qu'il ne faut pas sous-estimer, même si l'expéditeur et l'e-mail semblent légitimes.
Plus sur 8.com
À propos de 8com Le 8com Cyber Defense Center protège efficacement les infrastructures numériques des clients de 8com contre les cyberattaques. Il comprend la gestion des informations et des événements de sécurité (SIEM), la gestion des vulnérabilités et des tests de pénétration professionnels. En outre, il propose le développement et l'intégration d'un système de gestion de la sécurité de l'information (ISMS) incluant la certification selon des normes communes. Des mesures de sensibilisation, des formations à la sécurité et la gestion de la réponse aux incidents complètent l'offre.