Un acteur du risque surnommé Luna Moth a utilisé l’ingénierie sociale et une application logicielle légitime pour voler des données sensibles et extorquer de l’argent aux petites et moyennes entreprises.
Le groupe évite d’utiliser ransomware et dépend plutôt des travailleurs ciblés appelant un numéro de téléphone occupé par les attaquants et les persuadant d’installer un accès à distance à l’outil.
« Le phishing de rappel, également appelé expédition d’attaque par téléphone (TOAD) , est une attaque d’ingénierie sociale qui nécessite qu’un acteur dangereux s’engage avec la cible pour atteindre ses objectifs. Ce style d’attaque nécessite plus de ressources, mais moins complexe que les attaques basées sur des scripts, et il a tendance à avoir un taux de réussite beaucoup plus élevé », Les scientifiques de l’unité 42 de Palo Alto Networks ont gardé à l’esprit.
Les fausses factures d’adhésion
Le « crochet » initial – et c’est sans aucun doute un bon, car le groupe l’utilise pendant un certain temps – est un e-mail de phishing conçu pour donner l’impression qu’il provient une véritable entreprise (salle de sport, Master Class, Duolingo, etc.), indiquant que le destinataire a effectivement souscrit à un service dont le paiement sera extrait via la méthode de paiement préalablement définie par le destinataire.
Le corps de l’e-mail de phishing ne comprend aucun lien ou pièce jointe malveillant pour déclencher des solutions de sécurité des e-mails. Il se compose plutôt d’un ou plusieurs numéros de contact au moyen desquels le destinataire peut contester l’abonnement et d’un numéro de confirmation à 9 ou 10 chiffres utilisé par les stars du risque pour identifier le destinataire spécifique. (Alternativement, ces détails restent dans un fichier PDF connecté).
« L’opposant a enregistré tous les numéros qu’il a utilisés au moyen d’un fournisseur de voix sur IP (VoIP). Lorsque la victime a appelé parmi les numéros, ils ont été mis en ligne et ont finalement été mis en contact avec un agent qui a envoyé une invitation à l’aide à distance pour l’outil d’assistance à distance Zoho Assist », ont expliqué les chercheurs.
« Une fois que la victime s’est connectée à la session , l’ennemi a pris le contrôle de son clavier et de sa souris, a activé l’accès au presse-papiers et a masqué l’écran pour dissimuler ses actions. »
La star du risque a effectivement créé le logiciel d’assistance à distance Syncro pour outils de détermination et de gestion de fichiers open source Rclone ou WinSCP pour l’exfiltration d’informations.
« Dans les cas où la victime n’avait pas de droits d’administration sur son système d’exploitation, l’attaquant a évité de configurer un logiciel pour développer la détermination. Les attaquants ont plutôt téléchargé et exécuté WinSCP Portable, qui ne nécessite pas d’opportunités d’administration et est capable pour s’exécuter dans le contexte de sécurité de l’utilisateur », ont ajouté les chercheurs.
Après avoir parcouru le système et exfiltré des informations délicates, l’agresseur envoie un e-mail d’extorsion, menaçant de vendre ou de divulguer les informations s’il n’obtient pas payé.
Cibles commerciales
Les activités du groupe d’extorsion de Luna Moth étaient autrefois documentées par le groupe IR de Sygnia, et leurs méthodes évoluent.
Selon le système 42 scientifiques, le groupe a en fait commencé par cibler les individus dans les PME du marché légal, mais a maintenant élargi son bassin de victimes pour inclure des personnes dans des services plus importants du secteur de la vente au détail. Ils s’attendent à une croissance supplémentaire sur ce front et, en général, à d’autres stars du danger pour installer des projets d’hameçonnage par rappel, car ce type de stratagème est relativement peu coûteux à gérer et les montants extorqués peuvent être considérables.
« Les organisations actuellement les marchés ciblés doivent être particulièrement vigilants pour éviter d’être victimes », ont-ils noté, mais ont également souligné que toutes les organisations doivent acheter :
- Des programmes de formation de sensibilisation à la cybersécurité avec un accent particulier sur les facturations inattendues, ainsi que les demandes d’établissement d’un appel téléphonique ou d’installation de logiciels
- Outils de cybersécurité conçus pour détecter et prévenir les activités anormales (par exemple, l’installation de logiciels non reconnus ou l’exfiltration de données sensibles).
Toute l’actualité en temps réel, est sur L’Entrepreneur
