Une nouvelle campagne de logiciels malveillants a été observée ciblant l’Italie avec des e-mails de phishing conçus pour déployer un voleur d’informations sur des systèmes Windows compromis.
« Le malware vole des informations sensibles comme les informations système, les portefeuilles de crypto-monnaies et les historiques de navigation, les cookies et les informations d’identification des portefeuilles de crypto-monnaies sur les machines des victimes », a déclaré Karthickkumar Kathiresan, chercheur en sécurité chez Uptycs, dans un rapport.
Les détails de la campagne ont été divulgués pour la première fois par SI.net, une société de services informatiques basée à Milan, le mois dernier.
La séquence d’infection en plusieurs étapes commence par un courriel de phishing sur le thème de la facture contenant un lien qui, lorsqu’on clique dessus, télécharge un fichier d’archive ZIP protégé par un mot de passe, qui contient deux fichiers : Un fichier de raccourci (.LNK) et un fichier batch (.BAT).
Quel que soit le fichier lancé, la chaîne d’attaque reste la même, car l’ouverture du fichier de raccourci récupère le même script batch conçu pour installer la charge utile de vol d’informations à partir d’un dépôt GitHub. Pour ce faire, il exploite un binaire PowerShell légitime qui est également récupéré sur GitHub.
Une fois installé, le malware basé sur C# recueille des métadonnées système et des informations provenant de dizaines de navigateurs Web (par exemple, des cookies, des signets, des cartes de crédit, des téléchargements et des informations d’identification), ainsi que plusieurs portefeuilles de crypto-monnaies, le tout étant transmis à un domaine contrôlé par l’acteur.
Pour atténuer ces attaques, il est recommandé aux organisations de mettre en place « des contrôles de sécurité stricts et des solutions de visibilité et de sécurité multicouches pour identifier et détecter les logiciels malveillants. »