Image: Syl Pierce

Les chercheurs en sécurité de Sophos ont identifié un groupe de piratage qui a abusé des installateurs NSIS pour déployer des outils d’accès à distance (RAT) et des logiciels malveillants volant des informations dans des attaques ciblant des entreprises industrielles.

Sophos a découvert que les attaques de RATicate visaient des entreprises industrielles d’Europe, du Moyen-Orient et de la République de Corée dans le cadre de cinq campagnes distinctes entre novembre 2019 et janvier 2020, bien que les chercheurs soupçonnent qu’ils étaient derrière d’autres campagnes similaires dans le passé.

Ces campagnes ciblaient différents types d’entités du secteur industriel, allant des entreprises axées sur la fabrication aux entreprises d’investissement et aux sociétés Internet, notamment:

  • Un fabricant d’équipements électriques en Roumanie;
  • Une société koweïtienne de services de construction et d’ingénierie;
  • Une société Internet coréenne;
  • Une entreprise d’investissement coréenne;
  • Un fabricant britannique de matériaux de construction;
  • Une publication de nouvelles médicales coréennes;
  • Un fabricant coréen de télécommunications et de câbles électriques;
  • Un fabricant suisse d’équipement d’édition;
  • Une entreprise de messagerie et de transport japonaise.

Chaînes d’infection

Pour infecter les systèmes des cibles, les attaquants ont utilisé deux chaînes d’infection, toutes deux impliquant la livraison de charges utiles via des e-mails de phishing mais avec une légère différence dans la façon dont elles sont déployées.

La première chaîne d’infection utilise des pièces jointes malveillantes ZIP, UDF et IMG contenant les programmes d’installation malveillants NSIS, tandis que la seconde utilise des documents XLS et RTF piégés pour télécharger les programmes d’installation à partir d’un serveur distant sur …

Infos WEB:  Les pirates de Magecart ciblent les villes américaines à l'aide de Click2Gov

Voir la source de cette publication