Une étude de HP a mis en évidence plusieurs campagnes malveillantes qui utilisent des techniques de camouflage pour contourner la détection et retarder la réponse des équipes de sécurité.
Présenté lors de la conférence annuelle Amplify d’HP, le dernier HP Threat Insight Report a décrit des campagnes d’acteurs de la menace qui exploitent l’habitude des utilisateurs à compléter des étapes d’authentification, ou « la tolérance au clic », comme l’appelle HP.
Dans l’une de ces campagnes, les hackers créent de faux CAPTCHA afin de rediriger les victimes vers des sites malveillants, invitant les utilisateurs à compléter d’autres étapes d’authentification. Ils exécutent ainsi à leur insu une commande PowerShell malveillante sur leur appareil, qui installe un RAT (remote access trojan) ou un info stealer tel que Lumma Stealer.
Du code JavaScript malveillant dans des images vectorielles SVG
« L'authentification en plusieurs étapes est désormais la norme, ce qui accroît notre tolérance aux clics. Nos recherches montrent que les utilisateurs suivent plusieurs étapes dans une chaîne d'infection, révélant les limites des formations à la cybersécurité », a déclaré Ian Pratt, Global Head of Security for Personal Systems chez HP Inc., cité dans un communiqué.
Les chercheurs en cybersécurité ont également observé une campagne qui diffuse le RAT open-source XenoRAT, qui permet notamment de prendre le contrôle du micro et de la webcam à distance. Pour parvenir à leurs fins, les cybercriminels mobilisent des techniques d’ingénierie sociale afin de pousser les utilisateurs à activer les macros dans des documents Word et Excel, ce qui donne ensuite le contrôle des appareils aux pirates, leur permettant d’extraire des données et d’enregistrer les frappes clavier.
Une autre attaque décrit comment les attaquants exploitent les images vectorielles SVG, ouvertes par défaut dans le navigateur, en y dissimulant du code JavaScript malveillant afin de contourner les détections. Le code embarqué s’exécute et peut déployer jusqu’à sept payloads, dont des chevaux de Troie et des info stealers.
