phishing concept

De faux curriculum vitae ciblant les gestionnaires RH sont désormais livrés avec une porte dérobée mise à jour

Lucas Morel

Arctic Wolf avertit que les logiciels malveillants plus mis à jour peuvent échapper à la détection mieux que l’original.

Les CISO devraient avertir le personnel RH de ne pas être dupe par une nouvelle campagne de phishing de lance qui contient des candidatures d’emploi qui incluent des logiciels malveillants mis à jour et prendre des mesures pour identifier et bloquer une porte dérobée améliorée.

Cet avertissement est venu lundi des chercheurs d’Arctic Wolf, qui a déclaré qu’un groupe que certains chercheurs connaissaient sous le nom de Venom Spider, ou TA4557, visaient récemment les services des ressources humaines d’entreprise et les recruteurs pour répandre des logiciels malveillants grâce à une version améliorée de sa porte dérobée «More_Eggs».

Le groupe utilise des services de messagerie et des plateformes d’emploi légitimes pour postuler pour de vrais emplois en utilisant de faux curriculum vitae qui baisse la porte dérobée, selon le rapport. Avec l’accès à la porte dérobée, les escrocs peuvent ensuite voler des informations d’identification, des données de paiement client, une propriété intellectuelle ou des secrets commerciaux.

L’acteur de menace a effectué plusieurs mises à niveau vers More_Eggs pour infecter plus efficacement les victimes et pour échapper aux techniques d’analyse automatisées comme le sable, a déclaré Arctic Wolf.

«Les recruteurs et les gestionnaires d’embauche qui travaillent dans les services RH sont souvent considérés comme le point faible d’une organisation par les attaquants, car la nature même de leur travail signifie qu’ils doivent ouvrir régulièrement des pièces jointes de courrier électronique (telles que des curriculum vitae et des lettres d’accompagnement) par courriel à partir des sources externes et inconnues, y compris des candidats et des agences d’embauche», indique le rapport.

En règle générale, un message malveillant dans cette campagne contient un lien, censé permettre au gestionnaire de télécharger le curriculum vitae du chercheur d’emploi à partir d’un site externe. Si le gestionnaire clique sur le lien, il est transporté sur un site Web contrôlé par l’acteur à partir duquel le recruteur peut télécharger un (leurre) CV. Sur ce site, l’utilisateur doit cocher une boîte CAPTCHA, une précaution qui aide le site à contourner les scanners automatiques.

Si la victime réussit le test CAPTCHA, un fichier zip est téléchargé sur son appareil, auquel le recruteur est amené à croire que le curriculum vitae du candidat. Au lieu de cela, le fichier zip contient un fichier de raccourci Windows malveillant (.lnk) ainsi qu’un fichier image. Le fichier .lnk est la charge utile pour la première étape de la chaîne d’attaque, tandis que le fichier image .jpg n’est qu’une distraction.

L’infrastructure de l’acteur de menace émettant le fichier .lnk prend en charge le polymorphisme du serveur, ce qui signifie qu’un nouveau fichier .lnk malveillant sera généré, ce qui modifie l’obscurcissement du code et la taille du fichier pour chaque téléchargement individuel.

Le fichier .lnk contient un script .bat obscurci, qui effectue plusieurs actions lorsque le fichier .lnk est ouvert. Le script crée un fichier appelé et y écrit des commandes obscurcies, y compris un fichier de lots Windows.

Lorsque ce code est exécuté, Microsoft WordPad est automatiquement lancé dans un stratagème pour distraire l’utilisateur, qui est censé croire que le curriculum vitae promis est ouvert. Le script par lots lancera alors secrètement l’utilitaire Windows légitime, qui à son tour exécute les commandes du fichier. Le contenu de ce fichier déclenchera l’exécution des commandes dans le fichier malveillant.

« Il s’agit d’une technique de vie (LOTL) qui existe depuis un certain temps », a noté le rapport. Son objectif dans ce cas est d’utiliser une application légitime – dans ce cas, – pour exécuter des commandes et exécuter le code JavaScript.

Le fichier contient l’URL de l’étape suivante de la chaîne d’attaque, téléchargeant le compte-gouttes More_Eggs. Sa bibliothèque exécutable est complexe, utilisant du code obscurci qui génère du code JavaScript polymorphiquement. L’exécution de la bibliothèque est en retard pour échapper au sable et à l’analyse par les chercheurs.

Les experts disent que les escroqueries de curriculum vitae sont une tactique de longue date – et réussie -, car des agents d’embauche sont utilisés pour ouvrir des pièces jointes qui sont censées contenir un CV. En plus du vol de données, un autre objectif peut être l’espionnage, donc les objectifs incluent les services gouvernementaux, les fabricants de défense et les sociétés informatiques et les fournisseurs d’infrastructures critiques.

Une astuce: le demandeur comprend un mot de passe pour ouvrir le CV supposé dans son e-mail. C’est une tactique pour rendre plus difficile pour les passerelles par e-mail de dépister directement la pièce jointe. En 2018, Mailguard, un fournisseur de sécurité par e-mail australien, a mis en garde contre une campagne de phishing en utilisant cette tactique.

Une autre tactique est un e-mail qui revient aux gestionnaires d’une organisation, ce qui prétend provenir des RH, avec une pièce jointe censée les embauches approuvées.

Conseil aux Cisos

Les organisations qui utilisent des sites Web d’emplois tiers – y compris des sites tels que LinkedIn et en effet.com – devraient régulièrement former des employés à identifier et à contrer les attaques de phishing, a déclaré Arctic Wolf.

« Venom Spider a délibérément conçu sa campagne pour contourner les systèmes de détection basés sur la signature », a déclaré Ismael Valenzuela, vice-président de la recherche et des renseignements sur les menaces à Arctic Wolf, dans un courriel. «L’atténuation efficace devrait intégrer des contrôles ciblés avec des défenses par e-mail évolutives. Les passerelles de messagerie sécurisées peuvent être configurées pour bloquer les extensions de fichiers couramment exploitées dans ces campagnes, tandis que les administrateurs système peuvent mettre en œuvre des restrictions de politique granulaire sur les postes de travail.

«Les solutions de détection et de réponse gérées fonctionnent comme l’une des couches défensives finales, bien que de nombreuses opportunités existent pour interrompre la chaîne d’infection plus tôt», a-t-il ajouté. « La cybersécurité efficace dépend finalement d’une approche en couches plutôt que de dépassement de toute mesure de protection unique. »

Il a fourni ces recommandations aux CISO, pour aider à atténuer la menace:

  • Considérez l’utilisation de solutions de passerelle de messagerie sécurisées pour aider à filtrer de manière proactive les e-mails malveillants.
  • Implémentez une solution de détection et de réponse (EDR) (EDR).
  • Assurez-vous que tous les employés de l’entreprise sont conscients des meilleures pratiques de sécurité, y compris la sensibilisation aux techniques d’ingénierie sociale. Des soins supplémentaires sont nécessaires lorsque le personnel devrait être régulièrement consacré et examiner les documents du public, tels que des curriculum vitae et des portefeuilles en ligne.
  • Les employés doivent être avertis que certaines extensions de fichiers telles que LNK, VBS ou ISO peuvent être malveillantes et ne doivent pas être ouvertes.
  • Les fichiers ZIP peuvent contourner les filtres de sécurité par e-mail automatique, de sorte que des soins supplémentaires doivent être pris pour prévisualiser le contenu des fichiers fermés avant de les ouvrir.
  • Ajouter ou activer un bouton de rapport de phishing dans la solution de courrier électronique de votre organisation, pour permettre aux employés de signaler immédiatement les e-mails de phishing présumés à votre équipe SOC ou en matière de sécurité informatique.
  • Envisagez de effectuer des tests de phishing interne réguliers pour renforcer la formation à la sécurité.
  • Il est essentiel pour le leadership de créer un processus rationalisé pour que le personnel signale une activité suspecte sans crainte de jugement.
  • Des commentaires positifs doivent être fournis à ceux qui identifient avec succès des exercices de phishing, mais il est également important d’éviter de punir ou de «nommer et de honte» ceux qui tombent pour les e-mails de test de phishing. En créant un environnement qui encourage la vigilance, les tentatives de phishing peuvent être prises bien avant de provoquer un incident majeur.
  • Le leadership doit reconnaître que même le personnel bien formé peut faire des erreurs lorsqu’il est socialement conçu pour croire qu’il y a une urgence. Les acteurs de la menace peuvent utiliser le langage dans leurs e-mails de phishing qui est délibérément calculé pour inspirer l’urgence ou la peur, comme les courriels usurpés de la direction demandant à l’employé de prendre des mesures immédiates ou de faire face aux conséquences.
  • Block Infrastructure de commande et de contrôle utilisée utilisée dans cette campagne.
  • Déployer les règles de détection pour les composants malveillants utilisés par More_Eggs malware.
  • Examiner attentivement les journaux pour les indicateurs de compromis.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission