Phishing 2024 : la menace « More_eggs » décryptée

more_egg

Dans un monde de plus en plus connecté et vulnérable, les attaques de phishing deviennent de plus en plus sophistiquées et ciblées, touchant notamment les secteurs cruciaux de l’industrie. Phishing, malware et sécurité informatique sont des termes malheureusement courants dans le paysage de la cybersécurité moderne. Un récent incident impliquant le malware More_eggs, déguisé en curriculum vitae, souligne l’ingéniosité croissante des cybercriminels.

Attaque ciblée contre les recruteurs

Une méthode d’attaque sophistiquée

La firme canadienne eSentire a récemment mis en lumière une attaque inefficace de phishing visant les recruteurs d’une entreprise anonyme du secteur des services industriels en mai 2024. Le recruteur visé a été trompé par un acteur de menace se faisant passer pour un candidat à l’emploi, l’incitant à télécharger un loader depuis un site contrefait.

La persistance du malware More_eggal

Le malware, connu sous le nom de More_eggs, est associé à un acteur de menace appelé Golden Chickens, également connu sous le nom de Venom Spider. Il s’agit d’une porte dérobée modulaire utilisée pour collecter des informations sensibles et distribuée via un modèle de Malware-as-a-Service (MaaS). Les investigations d’eSentire l’année dernière ont permis de dévoiler l’identité réelle de deux individus, Chuck de Montréal et Jack, soupçonnés d’être à la tête de cette opération malveillante.

Techniques et conséquences de l’attaque

Réponses malicieuses aux offres d’emploi

La chaîne d’attaque comprend des acteurs malveillants répondant à des offres d’emploi sur LinkedIn avec des liens menant vers des sites de téléchargement de CV factices. L’utilisateur est ainsi dupé en téléchargeant un fichier raccourci Windows malveillant (LNK).

Exploitation de programmes légitimes

Une fois le fichier LNK téléchargé, il procure une bibliothèque dynamique malveillante (DLL) en exploitant un programme Microsoft légitime, ie4uinit.exe. Cette bibliothèque est ensuite exécutée via regsvr32.exe, permettant non seulement l’établissement de la persistance sur l’hôte infecté mais également la mise en œuvre d’autres charges utiles, dont le backdoor More_eggs basé sur JavaScript.

L’article souligne également l’émergence récente de campagnes utilisant de faux sites web pour des outils comme le KMSPico Windows activator ou des logiciels parfaitement légitimes comme Advanced IP Scanner. Ces opérations démontrent l’adaptabilité et l’innovation continues des cybercriminels dans leurs approches pour compromettre la sécurité des systèmes d’information.

Chez CyberCare, nous nous engageons à protéger nos clients contre de telles menaces en proposant des services de sécurité adaptés aux défis émergents, assurant ainsi une réponse robuste et proactive face aux attaques de phishing et autres risques de cybersécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *