L’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a mis en garde contre une nouvelle vague de campagnes d’ingénierie sociale diffusant des logiciels malveillants IcedID et exploitant les exploits de Zimbra dans le but de voler des informations sensibles.

Attribuant les attaques de phishing IcedID à un cluster de menaces nommé UAC-0041, l’agence a déclaré que la séquence d’infection commence par un e-mail contenant un document Microsoft Excel (Мобілізаційний реєстр.xls ou Mobilization Register.xls) qui, une fois ouvert, invite les utilisateurs à activer macros, conduisant au déploiement d’IcedID.

Le logiciel malveillant voleur d’informations, également connu sous le nom de BokBot, a suivi une trajectoire similaire à celle de TrickBot, Emotet et ZLoader, évoluant de ses racines antérieures en tant que cheval de Troie bancaire à un service de logiciel criminel à part entière qui facilite la récupération de la prochaine étape implants tels que les rançongiciels.

Le deuxième ensemble d’intrusions ciblées concerne un nouveau groupe de menaces appelé UAC-0097, l’e-mail comprenant un certain nombre de pièces jointes d’image avec un en-tête Content-Location pointant vers un serveur distant hébergeant un morceau de code JavaScript qui active un exploit pour un Zimbra. vulnérabilité de script intersite (CVE-2018-6882).

Dans la dernière étape de la chaîne d’attaque, le code JavaScript malveillant injecté est utilisé pour transférer les e-mails des victimes vers une adresse e-mail sous le contrôle de l’auteur de la menace, indiquant une campagne de cyberespionnage.

Les incursions s’inscrivent dans la continuité des cyberactivités malveillantes ciblant l’Ukraine depuis le début de l’année. Récemment, le CERT-UA a également révélé qu’il avait déjoué une cyberattaque par des adversaires russes pour saboter les opérations d’un fournisseur d’énergie anonyme dans le pays.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *