Les acteurs de la menace utilisent des formulaires de contact d’entreprise légitimes pour envoyer des e-mails de phishing qui menacent les cibles de l’entreprise de poursuites judiciaires et tentent de les infecter avec le logiciel malveillant de vol d’informations IcedID.

IcedID est un cheval de Troie bancaire modulaire repéré pour la première fois en 2017 et mis à jour pour déployer également des charges utiles de logiciels malveillants de deuxième étape, notamment Trickbot, Qakbot et Ryuk ransomware.

Ses opérateurs peuvent l’utiliser pour télécharger des modules supplémentaires après avoir infecté un appareil, voler des informations d’identification et des informations financières, et se déplacer latéralement sur les réseaux des victimes pour compromettre plus d’ordinateurs et déployer plus de charges utiles.

Formulaires de contact utilisés pour échapper à la détection

Récemment détectée par l’équipe Microsoft 365 Defender Threat Intelligence, cette campagne de phishing semble avoir trouvé un moyen de contourner la protection CAPTCHA des formulaires de contact pour inonder les entreprises d’un barrage de messages de phishing.

Les analystes de Microsoft Threat Intelligence, Emily Hacker et Justin Carroll, ont observé «un afflux de formulaires de contact adressés aux entreprises au moyen d’abus des formulaires de contact des entreprises».

« Cela indique que les attaquants ont peut-être utilisé un outil qui automatise ce processus tout en contournant les protections CAPTCHA », ont déclaré les analystes des menaces de Microsoft.

En utilisant cette méthode de phishing, les attaquants contournent les passerelles de messagerie sécurisées de l’entreprise ciblée, augmentant considérablement les chances de leurs messages de phishing d’arriver dans la boîte de réception d’une cible au lieu d’être signalés et envoyés dans le dossier spam.

Pour augmenter encore l’efficacité de leurs attaques, les acteurs de la menace menacent leurs cibles de poursuites judiciaires pour violations de droits d’auteur afin de les pousser à cliquer sur des liens intégrés les dirigeant vers des charges utiles IcedID.

Les destinataires sont invités à cliquer sur un lien intégré pour examiner les «preuves» des attaquants, mais sont à la place redirigés vers un site Web hébergé sur Google Sites utilisé pour diffuser le malware IcedID.

Le…