Avant d'ouvrir des pièces jointes PDF, vérifiez-les pour des liens intégrés
Selon un rapport récent des chercheurs de Proofpoint, les hackers TA450, alignés avec l’Iran, qui sont également connus sous les noms de MuddyWater, Static Kitten et Mango Sandstorm, auraient utilisé un leurre d’ingénierie sociale lié au paiement, c’est-à-dire des liens intégrés dans des pièces jointes PDF dans leurs campagnes de phishing.
La campagne de phishing a commencé le 7 mars 2024 et s’est poursuivie jusqu’au 11 mars 2024. Pendant cette période, TA450 a envoyé des e-mails avec des pièces jointes PDF contenant des liens malveillants. Ce n’est pas une méthode inhabituelle pour les hackers TA450 ; auparavant, ils ajoutaient directement des liens malveillants dans le corps de l’e-mail.
Cette fois, ils ont évolué et ajouté une étape supplémentaire pour rendre cela indétectable. Ils ont utilisé des liens malveillants cette fois-ci également, mais ont employé une technique légèrement différente. Ils ont envoyé plusieurs e-mails de phishing avec des pièces jointes PDF malveillantes et d’autres liens intégrés aux mêmes victimes.
Les liens menaient à plusieurs sites de partage de fichiers, tels que Onehub, TeraBox, Egnyte et Sync, et les chercheurs soupçonnaient que l’e-mail avait également été compromis.
Supposons qu’une victime ouvre la pièce jointe et clique sur le lien. Dans ce cas, cela téléchargera le fichier d’archive Zip, qui consiste en un MSI compressé qui installerait AteraAgent, un logiciel d’administration à distance que TA450 exploite. 
Une fois installé, le logiciel accorde à TA450 un accès à l’appareil de la victime, ce qui entraîne un vol potentiel de données et d’autres actes malveillants.
Cette méthode a fonctionné efficacement sur des employés israéliens ciblés dans de grandes organisations multinationales, et le groupe de hackers cible spécifiquement des entités israéliennes depuis au moins octobre 2023 avec le début de la guerre Israël-Hamas.
Le succès de la campagne peut être en partie attribué à l’utilisation de comptes e-mail d’expéditeurs qui correspondent au contenu du leurre, augmentant ainsi l’authenticité de ces e-mails de phishing.
C’est la première fois que le groupe utilise cette méthode, ce qui peut être marqué comme une escalade de la sophistication des attaques, rendant cela assez difficile à repérer pour les utilisateurs moyens.
Si l’on considère l’impact, l’envoi de plusieurs e-mails de phishing aux mêmes cibles augmente la probabilité d’infiltration réussie.
D’autres nouvelles attaques ont également émergé. Une campagne a utilisé un truc Office pour tromper les victimes, et Perception Point l’a repéré ; lisez l’histoire complète ici.
Avec l’augmentation des risques et la sophistication croissante des attaques, nous, les utilisateurs, devons toujours être prudents lorsque nous ouvrons des e-mails et des documents non sollicités. Et, en ce qui concerne les chercheurs en sécurité, ils doivent également surveiller ces types d’attaques de manière plus agressive.
Quelles sont vos réflexions à ce sujet ? Partagez vos opinions avec les lecteurs dans la section des commentaires ci-dessous.
