Evil Corp réapparaît avec une nouvelle stratégie d’infection

Le groupe de cybercriminels Evil Corp (aussi connus sous le nom de Dudear) est de retour après une courte pause. Ils ont ajouté une nouvelle technique à leur arsenal pour distribuer des virus.

Microsoft a déclaré avoir observé des e-mails du du groupe de cybercriminels qui contenaient des redirections HTML. Microsoft n’a pas précisé si ces redirections HTML sont des URL dans le corps de l’e-mail ou dans le fichier joint de l’e-mail.

Dès que la cible clique dessus, un fichier Excel est téléchargé automatiquement. Si la victime active la possibilité de modification dans le fichier Excel, le payload final est déposé sur le système.

“C’est la première fois que Dudear utilise des redirections HTML,” selon un tweet de l’equipe de recherche Microsoft Security Intelligence. Ils ont aussi révélé des indicateurs de compromis (IoC) pour l’attaque. “Les hackers utilisent des fichiers HTML en différents langages. Ils utilisent aussi un service de traçage d’IP qui traque les adresses IP des machines qui téléchargent le fichier Excel malveillant.”

Même si c’est la première fois qu’Evil Corp utilise cette tactique, les redirections HTML, ou code qui utilise des balises d’auto-rafraîchissement pour rediriger les utilisateurs vers un autre site, sont souvent utilisés par d’autres acteurs malveillants. Les URL de redirections sont généralement insérées dans les e-mails pour les attaques d’hameçonnage.

Par exemple, si certaines URL malveillantes sont bloquées par les filtres d’hameçonnage des navigateurs web, les hackers utiliseront une redirection URL pour contourner ces filtres et rediriger la victime vers leur page de destination d’hameçonnage.

“Si leur site d’hameçonnage est hors-ligne, ils peuvent simplement changer la destination de la redirection pour pointer vers un autre site d’hameçonnage,” selon PhishLabs. “Cela veut dire que tout ceux qui reçoivent un e-mail avec un lien de redirection et clique dessus se retrouveront sur un site d’hameçonnage.”

La technique est pratique car elle peut permettre aux hackers d’éviter l’utilisation d’e-mails ou de fichier joint abritant eux-même du contenu malveillant. Elle permet aussi de faire téléchargé directement des fichiers malveillant sur les systèmes de victimes.

“Si vous avez un scanner anti-malware, il scanne à la recherche de code malveillant et pourrait télécharger la redirection,” a déclaré Roger Grimes, chercheur en sécurité informatique de KnowBe4. “Les redirections récupèrent aussi le malware sur le champ. Cela montre que les hackers changent constamment et essayent de garder une longueur d’avance sur les experts en sécurité informatique.”

evil corp

Par le passé, Evil Corp distribuait des malwares sans redirection HTML, ils utilisaient simplement des fichiers joints malveillants ou des URL malveillantes dans les e-mails. Ces techniques étaient détectées facilement par les outils de défense.

Le payload final est le cheval de Troie GraceWire. Evil Corp a distribué GraceWire dans d’autres campagnes, cependant, le groupe est connu pour le déploiement du cheval de Troie bancaire Dridex (aussi connu sous le nom de Bugat et Cridex) par e-mails d’hameçonnage.

Ils n’ont pas révélé plus de détails à propos des victimes et de l’étendu de la campagne.

Petits détails sur Evil Corp

Evil Corp est un groupe de pirates qui est accusé d’avoir dérober des millions de dollars aux victimes en utilisant les chevaux de Troie bancaire Dridex et Zeus.

Les précédentes techniques d’Evil Corp impliquaient la capture d’informations bancaires pour ensuite tenter de persuader les banques d’autoriser le transfert électronique de fonds depuis les comptes bancaires des victimes.

Des mules reçoivent les fonds dérobées dans leurs comptes en banques et transportent ces fonds à l’étranger. Plusieurs compagnies ont été ciblées par Dridex. Parmi les victimes on compte même 2 banques, 1 district scolaire, une entreprise pétrolière, une entreprise de matériaux de construction et bien d’autres encore.

Evil Corp est un peu plus silencieux depuis Décembre 2019 car les autorités américaines font tout pour mettre la main sur le leader du groupe qui serait un homme russe de 32 ans qui se nomme Maksim V. Yakubets.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x