Actualités

“Ciblant les secteurs de l’aérospatial et du voyage”, Microsoft met en garde contre Snip3, un crypter-as-a-service diffusé dans des campagnes de spear-phishing !

AsyncRAT, RevengeRAT : depuis le 4 Février 2021, l’équipe sécuritaire Morphisec alerte au sujet de ces RATs (Remote administration tool) qui ont subis de nombreuses mutations depuis leur mise en lumière. Cet ensemble de cyber-attaque, nommée Snip3, est à présent pointée par Microsoft Security Intelligence (MSI), depuis le 11 Mai 2021…

 

 

Visant essentiellement et pour l’heure les secteurs de l’aérospatial et du voyage-tourisme, la viralité se distribue depuis des mails ciblés (spear-phishing) pour, en finalité, permettre l’aspiration de données (identification, captures-écran, données relatives à la Webcam, données relatives au navigateur, presse-papier, données-système, données-réseau) sur le terminal-cible. L’agent Tesla est exploité dans ce schéma d’attaque (depuis la version 2 observée par Morphisec) : “la charge utile finale, choisie par l’utilisateur, est finalement exécutée dans la mémoire de processus évidée. Notre analyse a principalement vu ASyncRAT ou RevengeRAT, qui proviennent souvent d’une plate-forme RAT open-source initialement disponible via le référentiel NYANxCAT Github (hxxps: // github [.] Com / NYAN-x-CAT). Notez que nous avons également découvert le même modèle d’utilisation des RAT à partir de ce référentiel dans Tracking HCrypt: An Active Crypter as a Service“, complète les chercheurs sécuritaires.

 

Côté modus operandi, des entreprises de l’aviation, du tourisme-voyage ou de fret sont ciblées avec des leurres convaincants, explique la cellule sécuritaire rattachée à Microsoft. En général, le mail intègreune image intégrant un fichier PDF” qui intègre la viralité, ce qui, une fois le lien cliqué, diffusera le VBScript malveillant. Des sites tels que Pastebin sont utilisés par les cyber-attaquants pour télécharger les ressources ou “étapes supplémentaires” jointées à un serveur command-and-control, le tout en utilisant un PowerShell “encodé en UTF-8“.

Sous la houlette de ces charges virales (chevaux de Troie) qui attaquent continuellement (jusqu’à réussir) le système ou des processus (RegAsm, InstallUtil, RevSvcs entre-autres), il a été observé que le port SMTP 587 était utilisé pour l’ex-filtration de données. Microsoft signale qu’il continue à maintenir une veille sur Snip3 tout en publiant, sur Github, les indicateurs de compromission ou requêtes dédiées… A veiller !

 

 

Source : MSI (Twitter officiel) – 11 Mai 2021 – Snip3 : vigilance émise depuis la découverte d’une attaque de spear-phishing.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0