TA505 est un groupe cybercriminel actif depuis 2014 qui cible les établissements d'enseignement et les institutions financières. En février 2020, l'université publique de Maastricht, aux Pays-Bas, a signalé avoir été victime d'une attaque massive par ransomware menée par TA505 à l'aide d'e-mails de phishing. TA505 utilise généralement des e-mails de phishing pour diffuser des fichiers Excel malveillants qui déposent des charges utiles une fois ouverts. Selon une étude menée par TrendMicro en juillet 2019, les e-mails de phishing de TA505 utilisent des pièces jointes contenant un redirecteur HTML pour diffuser les fichiers Excel malveillants. Récemment, une nouvelle campagne d'e-mails de phishing utilisant la même stratégie d'attaque a été découverte par l'équipe Microsoft Security Intelligence. Dans cet article, nous examinerons les fichiers utilisés dans l'attaque et explorerons comment Deep Content Disarm and Reconstruction (Deep CDR™ Technology) OPSWATpeut aider à prévenir des attaques similaires.
Vecteurs d'attaque
Le flux d'attaque utilisé est très commun :
- Un courriel d'hameçonnage contenant une pièce jointe HTML est envoyé à la victime.
- Lorsque la victime ouvre le fichier HTML, elle télécharge automatiquement un fichier Excel macro malveillant.
- Ce fichier Excel contient une charge utile malveillante lorsque la victime l'ouvre.
Les fichiers HTML et Excel ont été examinés sur metadefender.opswat.com au début du mois de février 2020.
Le fichier HTML a été identifié comme une fausse page Cloudflare avec un JavaScript relativement simple pour rediriger les utilisateurs vers une page de téléchargement après 5 secondes.
Le fichier Excel contient plusieurs macros obscurcies.
Lorsque la victime ouvre le fichier et active la macro, une fausse interface utilisateur Windows Process, qui est en fait un formulaire Visual Basic, apparaît, faisant croire à la victime qu'Excel est en train de configurer quelque chose.
En arrière-plan, la macro s'exécute et dépose quelques fichiers sur le système de la victime avec les chemins d'accès suivants : C:\NUsers\Nuser\NAppData\NLocal\NTemp\Ncopy13.xlsx, C:\NUsers\Nuser\NAppData\NRoaming\NMicrosoft\NWindows\NTemplates\Nsample_.dll (RAT)
Comment la technologie Deep CDR™ peut-elle vous protéger contre les attaques de phishing ?
Si le fichier HTML est nettoyé par la technologie Deep CDR™, tous les vecteurs de risque seront supprimés, y compris Javascript. Après le processus, l'utilisateur ouvre le fichier nettoyé sans la redirection mentionnée. Par conséquent, le fichier Excel malveillant ne peut pas non plus être téléchargé.
De plus, les campagnes de phishing TA505 utilisaient pour envoyer le fichier Excel malveillant directement à ses victimes sous forme de pièce jointe à un e-mail. Là encore, la technologie Deep CDR™ s'avère efficace dans ce cas. Elle supprime toutes les macros, OLE et nettoie de manière récursive toutes les images contenues dans le fichier.
Conclusion
Il est avéré que TA505 est très actif dans les campagnes d'hameçonnage par e-mail ces derniers temps. Divers types de logiciels malveillants sophistiqués ont été utilisés pour augmenter les chances de pénétrer dans votre système. Il est conseillé aux entreprises d'améliorer la formation de leurs employés en matière de sensibilisation à l'hameçonnage ainsi que leur système de sécurité. MetaDefender Core exploitant 6 technologies de cybersécurité de pointe, en combinaison avec MetaDefender Email Security, offre la protection la plus complète à votre organisation. Multiscanning MetaDefenderutilise la puissance de plus de 35 moteurs antivirus commerciaux pour détecter près de 100 % des logiciels malveillants connus, tandis que la technologie Deep CDR™ lutte contre les attaques zero-day provenant de menaces inconnues. En outre, en tant que couche de protection essentielle des informations personnelles identifiables, Proactive DLP empêche les données sensibles contenues dans les fichiers et les e-mails d'entrer ou de sortir de votre organisation.
Prenez rendez-vous avec un expert technique de OPSWAT pour savoir comment protéger votre organisation contre les cybermenaces avancées.
Référence :
