Proofpoint a détecté une augmentation dans l’utilisation d’une nouvelle tactique d’ingénierie sociale : cette technique persuade les utilisateurs de copier et de copier des scripts malveillants dans PowerShell, ce qui entraîne l’infection de vos appareils par des logiciels malveillants. Les attaques, y compris le groupe TA571 et le collectif CrearFake, utilisent cette méthode pour propager divers types de logiciels malveillants comme DarkGate, Matanbuchus, NetSupport et différents voleurs d’informations.

La stratégie utilisée est très cohérente sans importer comment démarrer la campagne. Si vous présentez aux utilisateurs une fenêtre émergente indiquant une erreur lors de l’intention d’ouvrir un document ou une page Web, fournissez des instructions pour copier et exécuter un script malveillant dans PowerShell ou dans le cadre de la boîte de dialogue Exécuter Windows et ensuite l’exécuter.

Il est clair que cette méthode d’attaque nécessite l’interaction de l’utilisateur pour réussir. Que ces cyberdélinquants utilisent des messages d’erreur et des notifications fausses dans leurs stratégies d’ingénierie sociale sont très intelligents, car ils présentent un problème comme leur solution pour que la victime puisse prendre des mesures immédiates sans analyser les risques possibles», explique l’équipe d’enquête de Proofpoint.

PowerShell et alerte

Le script malveillant est copié sur des ordinateurs portables via JavaScript, une technique couramment utilisée sur des sites Web légitimes. Le code malveillant est intégré au HTML du site Web, codifié sous diverses formes comme Base64, Base64 inversée, ou également dans le texte sans codifier divers éléments et fonctions.

L’utilisation de ces méthodes légitimes et variées pour enregistrer le code malveillant, en conjonction avec le fait que la victime l’exécute manuellement sans vinculation directe dans un fichier, complique la détection de ces menaces. Les antivirus et les systèmes EDR rencontrent des difficultés pour analyser le contenu des ordinateurs portables, car il est crucial d’intercepter et de bloquer le HTML ou le site Web malveillant avant d’aller à la victime.

En comparant l’exécution du code malveillant à partir de PowerShell avec le cadre de dialogue Exécuter de Windows, il existe des différences importantes. L’utilisation de PowerShell nécessite plus d’étapes pour l’ouvrir, mais une fois là, l’utilisateur doit seulement cliquer sur le droit pour télécharger et exécuter automatiquement le code, sans possibilité de révision préalable.

En revanche, lors de l’exécution du bloc de dialogue, le processus peut compléter rapidement les combinaisons de touches suivantes : Ctrl+R pour ouvrir le bloc de dialogue, Ctrl+V pour sélectionner le code et Entrée pour exécuter. Sans embargo, cette méthode peut générer des gens à la victime, qui en voyant le code peut choisir d’annuler l’exécution.

A lire également