Une campagne de cybercriminalité ciblant le secteur bancaire africain tire parti des e-mails de phishing et des techniques de contrebande HTML pour déployer des logiciels malveillants.

Une série d’attaques a été signalée à travers l’Afrique de l’Ouest, les attaquants se faisant passer pour des employeurs potentiels pour inciter les victimes à télécharger des fichiers malveillants.

Les chercheurs de HP Wolf Security, qui ont suivi la campagne, ont noté qu’ils avaient repéré les attaques pour la première fois au « début 2022 », lorsqu’un employé d’une banque ouest-africaine anonyme a reçu un e-mail prétendant provenir d’un recruteur d’une autre banque africaine avec des informations sur les opportunités d’emploi.

En enquêtant, les chercheurs ont découvert que le domaine utilisé pour envoyer l’e-mail était typosquatté et n’appartenait pas à l’organisation imitée.

Une demande WHOIS a révélé plus tard que le domaine avait été enregistré en décembre 2021 et que la visite du site Web renvoyait une réponse HTTP 404. Pour rendre le leurre plus crédible, l’auteur de la menace a également inclus une adresse de réponse d’un autre employé supposé de la banque qui recrute.

Campagne de contrebande

Les e-mails contenaient des fichiers HTML qui, s’ils étaient ouverts, invitaient l’utilisateur à télécharger un fichier ISO, qui à son tour contient un script Visual Basic qui exécute un logiciel malveillant.

Cette technique, appelée contrebande HTML, permet aux attaquants de faire passer clandestinement des fichiers malveillants au-delà de la sécurité de la passerelle de messagerie.

LIRE LA SUITE Contrebande HTML : une nouvelle technique d’attaque est de plus en plus utilisée pour cibler le secteur bancaire

Les chercheurs de HP Wolf Security ont découvert que les attaquants utilisaient un téléchargeur appelé GuLoader, qui est exécuté à l’aide de PowerShell via le code stocké dans le registre et qui, autrement, n’est exécuté qu’en mémoire.

« Détecter une telle chaîne d’infection n’est pas facile, car le malware ne se trouve que dans la mémoire et le registre », ont noté les chercheurs dans un article de blog.

Parler à La gorgée quotidiennePatrick Schläpfer, analyste des logiciels malveillants chez HP Wolf Security, a déclaré que bien que l’équipe de recherche ne sache pas pourquoi l’Afrique en particulier a été ciblée, les institutions financières offrent généralement « un degré élevé d’opportunités pour les cybercriminels de monétiser l’accès et les données volées s’ils compromettre avec succès le réseau d’une banque ».

Schläpfer a ajouté : « Dans cette campagne, les attaquants ont utilisé une combinaison de techniques d’attaque. Nous recommandons aux entreprises de faire attention aux abus de marque, à savoir les sites Web typosquattés qui se font passer pour leur marque.

« Si ceux-ci sont trouvés, ils doivent être signalés au fournisseur d’hébergement et au registraire de domaine dès que possible.

TU POURRAIS AUSSI AIMER L’Afrique voit une augmentation des ransomwares et des attaques de botnets – mais les escroqueries en ligne constituent toujours la plus grande menace

« De plus, les organisations doivent également s’assurer qu’elles ont une visibilité sur leur réseau pour isoler ou bloquer le comportement des processus malveillants. Ces recommandations s’appliquent à toutes les organisations, pas seulement au secteur bancaire en Afrique.

Le chercheur a également noté que si des techniques telles que les e-mails de phishing ne sont pas nécessairement sophistiquées, « de telles attaques conduisent toujours à des infections ».

Schläpfer a ajouté : « Dans cette campagne, les attaquants ont déployé des efforts inhabituels pour créer de faux sites Web afin d’augmenter la crédibilité de leurs e-mails et donc les risques d’infection.

« La technique de contrebande HTML se distingue également car elle n’est pas facile à détecter et passe donc souvent par la passerelle de messagerie des utilisateurs. »

Vous trouverez plus d’informations sur la campagne dans Article de blog de HP Wolf Security.