Par ESET Research
● En mai 2024, ESET a identifié neuf campagnes de phishing significatives utilisant ModiLoader, ciblant des PME de la Pologne, la Roumanie et l’Italie.
● La Pologne a été la cible principale, avec sept des neuf campagnes. Dans ce pays, les solutions ESET ont protégé plus de 21 000 utilisateurs contre ces menaces.
● Les cybercriminels ont utilisé ModiLoader pour déployer trois types de logiciels malveillants voleurs d’informations : Rescoms, Agent Tesla et Formbook.
● Pour mener leurs attaques, les attaquants ont exploité des infrastructures d’entreprises compromises pour diffuser leurs malwares, les héberger et collecter les données volées.
En mai 2024, les chercheurs d’ESET ont identifié neuf campagnes de phishing massives ciblant les PME en Pologne, Roumanie et Italie, propageant diverses familles de malwares. Par rapport à 2023, les attaquants ont délaissé AceCryptor au profit de ModiLoader comme principal outil de distribution, tout en élargissant leur arsenal de logiciels malveillants. Les cybercriminels ont exploité des comptes de messagerie et des serveurs d’entreprise compromis pour diffuser des e-mails malveillants, héberger des malwares et collecter les données volées. Durant ce seul mois, les solutions ESET ont protégé plus de 26 000 utilisateurs contre ces menaces, dont 80% (plus de 21 000) en Pologne.
Jakub Kaloč, analyste de ces campagnes de phishing, a déclaré : « Nous avons recensé neuf campagnes de phishing au total, dont sept ciblant la Pologne tout au long du mois de mai. Les charges utiles finales destinées à être livrées et exécutées sur les machines compromises étaient variées. Nous avons détecté des campagnes utilisant le voleur d’informations Formbook, le cheval de Troie d’accès à distance et voleur d’informations Agent Tesla, ainsi que Rescoms RAT, un logiciel de contrôle et de surveillance à distance capable de dérober des informations sensibles. », ajoute-t-il.
Toutes les campagnes ont suivi un schéma similaire : l’entreprise ciblée recevait un e-mail contenant une offre commerciale. Comme observé lors des campagnes de phishing du second semestre 2023, les attaquants ont adopté une stratégie d’usurpation d’identité, se faisant passer pour des entreprises existantes et leurs employés. Cette tactique visait à augmenter le taux de réussite de leurs opérations. Ainsi, même si la victime potentielle recherchait les signes habituels d’une tentative de phishing, ceux-ci étaient absents, rendant l’e-mail aussi légitime que possible en apparence.
Les e-mails de toutes les campagnes comportaient une pièce jointe malveillante que la victime était incitée à ouvrir, selon le contenu du message. Cette pièce jointe était soit un fichier ISO, soit une archive contenant l’exécutable ModiLoader. ModiLoader, un téléchargeur conçu en Delphi, avait pour unique fonction de télécharger et d’exécuter des logiciels malveillants. Dans deux des campagnes, les échantillons de ModiLoader étaient configurés pour télécharger le malware suivant depuis un serveur compromis appartenant à une entreprise hongroise. Pour les autres campagnes, ModiLoader récupérait la charge utile suivante depuis le stockage cloud Microsoft OneDrive.
Plus d’informations sur les campagnes ModiLoader
article « Le phishing ciblant les PME polonaises continue via ModiLoader »
