L’imagination des pirates est sans limites pour s’adapter aux défenses des entreprises et des institutions publiques de mieux en mieux armées. Proofpoint reprend l’exemple du groupe pirate UNK_CraftyCamel, qui a exploité en octobre 2024 un compte de messagerie compromis de la société indienne d'électronique INDIC Electronics. Un premier pas avant d’envoyer des courriels contenant des URL pointant vers un faux domaine
d'INDIC Electronics.
Pour rappel, 74 % des compromissions de données exploitent le facteur humain. D’autre part, 80 % des cyberattaques débutent par un accès non autorisé aux identités d'utilisateurs à privilèges. Une majorité des problèmes de cybersécurité sont imputables à une erreur humaine.
Proofpoint publie une analyse technique qui décortique les méthodes de deux nouveaux groupes malveillants et d'un nouveau logiciel pirate visant l’environnement Mac. Il s’agit notamment d’injections web, souvent du code JavaScript malveillant, une porte d’entrée pour les techniques d'ingénierie sociale, crédibles et personnalisées.
Le groupe TA569 au cœur des attaques par injection web
Baptisé TA569, ce groupe était le principal distributeur de campagnes d'injections web SocGholish, un malware dangereux et évolutif conduisant à l'installation de logiciels malveillants et à des attaques de ransomwares. Diffusé via des sites Web légitimes compromis, SocGholish a été modifié pour échapper à la détection par les outils de protection de la messagerie. Cet acteur est devenu quasiment synonyme des fausses mises à jour et il a fait de nombreux émules à partir de 2023. Conséquence, un afflux de multiples acteurs, agissant parfois en collaboration et qui opèrent plusieurs injections en même temps, compliquant ainsi le suivi et la catégorisation des pirates.Deux groupes ciblent les OS Windows et MAC
Deux nouveaux acteurs de la menace, TA2726 et TA2727 sont apparus dans les radars de Proofpoint. Il s'agit de vendeurs de trafic et de distributeurs de logiciels malveillants à l’œuvre dans de nombreuses attaques basées sur le web, y compris celles qui utilisent de fausses mises à jour. L'activité observée dans les données des campagnes de courrier électronique est liée à des sites web légitimes, mais en fait compromis.Les ordinateurs MAC sont visés par le groupe TA2727 par un nouveau infostealer (vol d'informations) baptisé FrigidStealer. Bien entendu, les OS Windows et Android pour les smartphones, les plus massivement répandus, ne sont pas oubliés.
Le mécanisme des injections envoyées aux visiteurs d’un site web ciblé est connu, mais il est devenu plus sophistiqué. Il s’agit souvent de code JavaScript associé à un service de distribution du trafic (TDS) chargé de déterminer quel utilisateur reçoit quelle charge utile sur la base de diverses options de filtrage. La charge utile est finalement téléchargée
par le script.
Outre la mise en place des détections réseau avec un jeu de règles et la protection des terminaux, il reste qu’une véritable culture de la cybersécurité pour le personnel est absolument indispensable.
