Le FBI détecte l'usurpation d'identité d'une banque par hameçonnage pour distribuer des logiciels malveillants

  • Principal
  • Nouvelles
  • Le FBI détecte l'usurpation d'identité d'une banque par hameçonnage pour distribuer des logiciels malveillants

Les acteurs de la menace se sont fait passer pour Truist, la sixième plus grande société de portefeuille bancaire américaine, dans une campagne de harponnage qui tentait d'infecter les destinataires avec ce qui semble être un logiciel malveillant d'accès à distance (RAT).

Ils ont également adapté la campagne de phishing 'pour tromper l'institution financière via des domaines enregistrés, des sujets de courrier électronique et une application, tous apparemment liés à l'institution', a déclaré le FBI dans un TLP : BLANK. notification au secteur privé .

Le code PIN a été émis en coordination avec le DHS-CISA et est conçu pour fournir aux professionnels de la sécurité et aux administrateurs réseau les indicateurs de compromission dont ils ont besoin pour détecter et bloquer de telles attaques.

Diverses institutions financières usurpées

Lors de l'une des attaques visant une entreprise d'énergie renouvelable en février 2021, les e-mails de phishing ont demandé à la cible de télécharger une application Windows malveillante qui imitait l'application légitime Truist Financial SecureBank prétendument nécessaire pour terminer le processus derrière un prêt de 62 millions de dollars.

'Le montant du prêt frauduleux était conforme au modèle commercial de la victime', a ajouté le FBI. 'L'e-mail de phishing contenait également un lien pour télécharger l'application, ainsi qu'un nom d'utilisateur et un mot de passe pour se connecter.'

«L'e-mail de phishing semblait provenir d'une institution financière basée au Royaume-Uni, indiquant que le prêt de l'institution financière américaine à la victime avait été confirmé et était accessible via une application qui semblait représenter la victime. institution financière américaine.

Les acteurs de la menace ont hébergé la fausse application Windows sur un domaine escroc enregistré par les acteurs de la menace avant l'attaque et se faisant passer pour Truist.

D'autres institutions financières américaines et britanniques (par exemple, MayBank, FNB America et Cumberland Private) semblent également avoir été usurpées dans cette campagne de spear phishing.

Institutions financières usurpées

Institutions financières usurpées

Logiciels malveillants avec des capacités de vol d'informations

Pour augmenter le taux de réussite de leurs attaques, les attaquants ont utilisé des logiciels malveillants actuellement non détectés par les moteurs anti-malware. VirusTotal .

Logiciels malveillants distribués après que les destinataires ont téléchargé et installé des exécutables malveillants dans les e-mails de spear phishing qui se connectent au fichier Portail sécurisé (.) en ligne domaine.

Comme détaillé plus loin sur la page VirusTotal pour l'échantillon de malware partagé par le FBI, les attaquants peuvent utiliser le malware pour enregistrer les frappes au clavier et prendre des captures d'écran des captures d'écran des victimes.

Application Banque Sécurisée Financière

Fake Truist Financial SecureBank App Upload (BleepingComputer)

Selon VirusTotal, la liste des fonctionnalités des logiciels malveillants comprend :

  • Privilèges accrus
  • Communications sur le réseau UDP
  • Manipulation du registre
  • prendre des captures d'écran
  • Écouter la communication entrante
  • Exécuter un enregistreur de frappe
  • Communication via DNS
  • Téléchargeur de fichiers / compte-gouttes
  • Communications HTTP
  • Injecter du code avec CreateRemoteThread dans un processus distant

Le mois dernier, la principale agence de placement au monde, Michael Page, s'est fait passer pour une campagne de phishing similaire dans le but d'infecter les destinataires avec le logiciel malveillant de vol de données Ursnif qui peut collecter des informations d'identification et des données sensibles à partir d'ordinateurs infectés.

En utilisant les informations collectées à partir des systèmes infectés, les attaquants peuvent voler les identifiants de connexion de leurs victimes et d'autres données sensibles pour compromettre davantage leurs comptes ou leurs réseaux.

Les fausses applications utilisées comme appâts lors d'activités malveillantes en arrière-plan sont une tactique connue utilisée dans le passé par les cybercriminels et les acteurs de la menace soutenus par l'État tels que le groupe Lazarus. [1, 2].

Qu'est-ce que tu penses?