Squid Game utilisé comme leurre pour infiltrer le malware Dridex

Squid Game utilisé comme leurre pour infiltrer le malware Dridex

La société de cybersécurité Proofpoint a trouvé des preuves qu’un groupe de cybercriminels utilise la popularité de la série “Squid Game” de Netflix pour diffuser le malware Dridex.

Dans un billet de blog, Proofpoint a indiqué que TA575, un “acteur important de la cybercriminalité”, a envoyé des courriels en se faisant passer pour une personne travaillant sur l’émission, incitant les gens à télécharger des pièces jointes malveillantes ou à remplir des formulaires contenant des informations sensibles.

publicité

Les e-mails ont pour objet des messages tels que “Squid Game is back, watch new season before anyone else”, “Invite for Customer to access the new sesason”, “Squid game new season commercials casting preview” et “Squid game scheduled season commercials talent cast schedule”.

Proofpoint a déclaré avoir trouvé des milliers d’e-mails utilisant ces leurres et ciblant divers secteurs d’activité.

Certains de ces e-mails tentent d’attirer les victimes en leur disant qu’elles pourraient participer à l’émission si elles téléchargeaient le document et le remplissaient.

“Les pièces jointes sont des documents Excel contenant des macros qui, si elles sont activées, permettent de télécharger le cheval de Troie bancaire Dridex, dont l’identifiant est ‘22203’, à partir d’URL Discord. Dridex est un cheval de Troie bancaire prolifique distribué par de multiples affiliés qui peut conduire au vol de données et à l’installation de logiciels malveillants de suivi tels que des ransomwares”, ont écrit Axel F et Selena Larson, chercheurs chez Proofpoint.

image-20211028123421-1.jpg

Proofpoint

Les chercheurs ont expliqué que l’entreprise suit TA575 depuis fin 2020, notant que le groupe distribue généralement Dridex par le biais “d’URL malveillantes, de pièces jointes Microsoft Office et de fichiers protégés par mot de passe.”

“En moyenne, TA575 envoie des milliers d’emails par campagne impactant des centaines d’organisations. TA575 utilise également le réseau de diffusion de contenu (CDN) Discord pour héberger et distribuer Dridex”, ont déclaré les chercheurs de Proofpoint, ajoutant que Discord est devenu un “service d’hébergement de logiciels malveillants populaire pour les cybercriminels.”

Le gang utilise une variété de leurres pour inciter les victimes à cliquer sur des liens ou à télécharger des documents, en jouant souvent sur la culture pop ou en déployant un langage lié aux factures dans les e-mails.

Sherrod DeGrippo, vice-président de la détection et de la réponse aux menaces chez Proofpoint, a déclaré à ZDNet que Dridex est un cheval de Troie bancaire utilisé pour voler des informations bancaires. Le malware permet à l’acteur de la menace de siphonner de l’argent directement du compte bancaire de la victime, a déclaré DeGrippo.

“Mais Dridex est également utilisé pour collecter des informations ou comme chargeur de logiciels malveillants qui peuvent conduire à des infections de suivi telles que les ransomwares”, a ajouté M. DeGrippo.

Selon des experts en cybersécurité tels que le PDG de ThreatModeler, Archie Agarwal, le groupe criminel TA575 est composé d’opportunistes prolifiques et motivés par l’appât du gain, spécialisés dans les logiciels malveillants Dridex et exploitant de nombreux serveurs Cobalt Strike.

Les logiciels malveillants Dridex et les serveurs Cobalt Strike sont tous deux des exemples de réutilisation du travail d’autrui, a déclaré M. Agarwal, expliquant que Dridex remonte à 2015 et était connu pour être spécialisé dans le vol de justificatifs bancaires.

“Tirer parti des questions et tendances chaudes est le modus operandi d’un tel groupe qui enverra une multitude d’e-mails de phishing afin d’attraper quelques âmes sans méfiance dans leur piège”, a déclaré Agarwal à ZDNet.

Selon Chris Morgan, analyste principal des renseignements sur les menaces chez Digital Shadows, le groupe est connu pour ses campagnes de phishing à grande échelle visant plusieurs organisations en même temps.

Si Dridex était à l’origine utilisé comme cheval de Troie bancaire, il a été développé et permet désormais diverses fonctionnalités, telles que l’accès par porte dérobée aux réseaux concernés et l’usurpation d’identité d’expéditeur d’e-mails, a expliqué M. Morgan.

“Le malware peut également conduire à l’installation de malware de suivi et a été précédemment observé en tandem avec une activité de ransomware”, a déclaré Morgan. “Dridex partage des chevauchements de code avec plusieurs types de ransomware, notamment ‘Grief’, ‘DopplePaymer’, ‘WastedLocker’ et ‘Macaw’. Il est probable que plusieurs de ces familles de ransomware aient été développées par la même équipe responsable du malware Dridex.”

Hank Schless, directeur principal des solutions de sécurité chez Lookout, a déclaré que tout au long de la pandémie de COVID-19, les cybercriminels ont utilisé une variété d’accroches liées au vaccin ou à l’aide gouvernementale comme appât pour des e-mails avec des pièces jointes malveillantes.

M. Schless explique que les données de Lookout montrent que les acteurs de la menace ciblent fortement les utilisateurs par le biais de canaux mobiles tels que les SMS, les plateformes de médias sociaux, les applications de messagerie tierces, les jeux et même les applications de rencontre. Il ajoute que l’une des parties les plus intéressantes du rapport est que TA575 utilise le CDN Discord pour héberger et diffuser le malware.

“Cette pratique consistant à utiliser des services légitimes comme serveur intermédiaire de commande et de contrôle est de plus en plus courante. Nous la voyons fréquemment avec des plateformes de stockage de données comme Dropbox également. Les attaquants agissent ainsi parce que cela peut les aider à échapper à toute détection plus facilement si le trafic semble légitime”, a déclaré Schless.

“Squid Games est devenu une émission populaire, donc tenter les gens avec l’opportunité de voir la saison 2 en avance ou d’avoir un rôle dans celle-ci est suffisant pour qu’au moins une cible ouvre le message.”

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *