Campagne de phishing sophistiquée ciblant les utilisateurs chinois ?
- , le 21 septembre 2023
- 1 h 37 min
Les personnes parlant chinois sont de plus en plus souvent ciblées dans le cadre de campagnes d’hameçonnage par courrier électronique visant à distribuer diverses familles de logiciels malveillants telles que Sainbox RAT, Purple Fox et un nouveau cheval de Troie appelé ValleyRAT.
« Les campagnes comprennent des leurres en langue chinoise et des logiciels malveillants typiquement associés aux activités cybercriminelles chinoises », a déclaré l’entreprise de sécurité Proofpoint dans un rapport transmis à The Hacker News.
L’activité, observée depuis le début de l’année 2023, consiste à envoyer des messages électroniques contenant des URL pointant vers des exécutables compressés chargés d’installer le logiciel malveillant. D’autres chaînes d’infection exploitent des pièces jointes Microsoft Excel et PDF qui intègrent ces URL pour déclencher une activité malveillante.
Ces campagnes présentent des variations dans l’utilisation de l’infrastructure, des domaines d’expéditeurs, du contenu des courriels, du ciblage et des charges utiles, ce qui indique que différents groupes de menaces organisent les attaques.
Plus de 30 campagnes de ce type ont été détectées en 2023. Elles utilisent des logiciels malveillants généralement associés à la cybercriminalité chinoise. Depuis avril 2023, pas moins de 20 de ces campagnes auraient diffusé Sainbox, une variante du cheval de Troie Gh0st RAT, également connu sous le nom de FatalRAT.
Proofpoint a déclaré avoir identifié au moins trois autres campagnes diffusant le malware Purple Fox et six autres campagnes propageant une souche naissante de malware baptisée ValleyRAT, cette dernière ayant débuté le 21 mars 2023.
ValleyRAT, documenté pour la première fois par la société chinoise de cybersécurité Qi An Xin en février 2023, est écrit en C++ et abrite des fonctionnalités traditionnellement vues dans les trojans d’accès à distance, telles que la récupération et l’exécution de charges utiles supplémentaires (DLL et binaires) envoyées par un serveur distant et l’énumération des processus en cours d’exécution, entre autres.
Alors que Gh0st RAT a été largement utilisé dans diverses cybercampagnes liées à la Chine au fil des ans, l’émergence de ValleyRAT suggère qu’il pourrait être largement déployé à l’avenir.
« L’augmentation de l’activité des logiciels malveillants en langue chinoise indique une expansion de l’écosystème des logiciels malveillants chinois, soit en raison d’une plus grande disponibilité ou d’un accès plus facile aux charges utiles et aux listes de cibles, soit en raison d’une activité potentiellement accrue des opérateurs de cybercriminalité parlant chinois », a déclaré l’entreprise.
