Les techniques utilisées par les délinquants spécialisés dans le robot d'information utilisant des infostealers n'ont pas varié de manière démesurée au cours des dernières années, mais moins sont celles utilisées pour ce travail familier de logiciels malveillants spécialisés pour réaliser ces actions. Le courrier électronique permet d'utiliser le vecteur d'attaque le plus utilisé, le plus spécifiquement, les e-mails qui font référence à un type de paiement pendant, fait ou présumé dirigé par les départements d'administration et d'autres départements similaires.
Infostealers dirigidas a empresas españolas
En repassant les campagnes récentes qui sont détectées en Espagne au cours des derniers jours, nous observerons comment répéter ces techniques. Cependant, il y a plusieurs points à garder en sachant que nous ne pouvons pas obtenir des résultats précis que nous avons envoyés dans le message, mais ce n'est pas le cas des utilisateurs qui peuvent entrer dans le trampa des ciberdelincuentes.
Nous pouvons, par exemple, envoyer un e-mail sur ces lignes, en observant que le corps du message est générique, bref et qui suscite l'intérêt et la sensation d'urgence pour ouvrir la fiche complémentaire. De plus, à cette occasion, les délinquants n'ont pas eu un aspect crucial pour traiter le courrier électronique de manière légitime, car la direction du versement peut vouloir faire attention à elle seule.
Par conséquent, les délinquants n'ont pas toujours besoin de se soucier des détails de leurs campagnes de courriers malveillants, sachant qu'un nombre suffisamment élevé d'utilisateurs déchargeront et exécuteront la fiche complémentaire de manière automatique, en suivant le même processus qui répétera les dernières semaines du jour.
À cette occasion, nous nous trouvons devant une fiche ISO qui agit comme le contenu d'un EXE exécutable. De cette manière, les agents prétendent que leur menace n'est pas désaperçue pour ne pas tenir la fiche exécutable de la marque que les systèmes Windows organisent pour les archives téléchargées d'Internet, connues sous le nom de « Marque du Web » et qui devraient impliquer une révision plus exhaustive par partie du système opérationnel en recherche de comportements malveillants possibles.
Exécutions et chutes dans le design de la campagne malveillante
Les fichiers exécutables qui accompagnent ces courriers malveillants ne s'épuisent pas immédiatement dans leur fonctionnalité finale après que l'utilisateur les a exécutés. Normalement, et ce cas n'est pas une exception, c'est qu'il lance une chaîne d'infections qui implique l'exécution d'un code supplémentaire et le téléchargement du vol sur le disque de la charge finale ou de la charge utile, correspondant aux logiciels malveillants avec les fonctionnalités souhaitées par les délinquants.
Sans embargo, avant de réaliser l'infection de forme transparente, les délinquants de cette campagne ont déjà été rassurés et peuvent alerter l'utilisateur qui se trouve avant une amende et non devant un document contenant une supposition facture pendant le paiement ou le transfert. bancaire.
Alors, lors de l'exécution du code malveillant, nous pouvons observer qu'une fenêtre montre la création de tapis dans le système et comment se situer tout ce type de fichiers.
C'est quelque chose d'inhabituel dans ce type d'infostealers, mais certaines familles spécialisées dans le robot de crédit bancaire ont utilisé des techniques particulières pour camoufler leur activité spécifique ou même pour éviter d'être détectées, en empêchant l'exécution si l'utilisateur n'interagit pas avec la fenêtre affichée sur l'écran. . Cependant, le chargeur utilisé pour supprimer les logiciels malveillants du système comme la famille des infostealers utilisés dans cette campagne est parfaitement identifié.