Microsoft émet un avertissement sur la contrebande HTML qui déploie des logiciels malveillants bancaires ; Comment se défendre contre une attaque dangereuse

Les chercheurs en cybersĂ©curitĂ© de Microsoft ont mis en garde les utilisateurs contre l’utilisation croissante d’une mĂ©thode de diffusion de logiciels malveillants appelĂ©e contrebande HTML.

Cela se fait dans des campagnes par e-mail qui infecteraient des systèmes cibles sans mĂ©fiance avec des logiciels malveillants bancaires et des chevaux de Troie d’accès Ă  distance (RAT). La contrebande HTML permet aux pirates de dissimuler un script codĂ© dans une pièce jointe HTML spĂ©cialement conçue. Il rassemble ces logiciels malveillants dans le système de la victime.

Cette mĂ©thode, selon les chercheurs de Microsoft, est “très Ă©vasive” et pourrait “contourner les contrĂ´les de sĂ©curitĂ© du pĂ©rimètre”, qui incluent les proxys Web et les passerelles de messagerie. Ces contrĂ´les se contentaient souvent de vĂ©rifier les pièces jointes suspectes avec les extensions de fichier .EXE, .ZIP ou .DOCX ou le trafic basĂ© sur des modèles et des signatures, ont ajoutĂ© les chercheurs.

La technique de contrebande HTML permet aux pirates de contourner les utilitaires de protection

La contrebande HTML est un outil efficace permettant aux attaquants de contourner les logiciels de protection tels que les utilitaires antivirus et les pare-feu, qui ne détectent que le trafic HTML et JavaScript non menaçant que les pirates obscurcissent pour tromper davantage les utilitaires de protection, a noté Tech Radar.

Des chercheurs de l’Ă©quipe Microsoft 365 Defender Threat Intelligence ont dĂ©clarĂ© dans un article de blog que la technique est largement utilisĂ©e dans le dĂ©ploiement de logiciels malveillants bancaires pour atteindre des cibles dans des pays tels que le Portugal, le Mexique, le PĂ©rou, l’Espagne et le BrĂ©sil. En plus de ces campagnes, il existe d’autres cyberattaques sophistiquĂ©es dans le monde qui utilisent cette technique.

Lisez aussi : Une nouvelle stratĂ©gie de piratage injecte des logiciels malveillants dans le GPU et Ă©chappe Ă  l’antivirus : 3 façons de vous protĂ©ger

Les chercheurs de Microsoft ont observé cette augmentation des campagnes de contrebande HTML en utilisant les signaux de la communauté open source intelligence (OSINT) en juillet et août derniers. Ces campagnes déploient des RAT, tels que AsyncRAT ou NJRAT, avant de suivre un autre déploiement en septembre qui utilisait la contrebande HTML pour livrer le malware Trickbot.

L’augmentation des incidents de contrebande HTML montre comment les pirates « affinent des composants spĂ©cifiques de leurs attaques en intĂ©grant des techniques hautement Ă©vasives », ont ajoutĂ© les chercheurs. Il a notĂ© comment le logiciel de protection Microsoft 365 Defender utilise plusieurs techniques, telles que l’apprentissage automatique, pour prĂ©venir ces menaces.

La contrebande HTML a été utilisée dans de telles campagnes de logiciels malveillants bancaires, telles que celles attribuées à DEV-0238, également connu sous le nom de Mekotio, et DEV-0253, ou Ousaban. Dans un incident typique de contrebande HTML, les attaquants envoient des e-mails avec un lien malveillant. Ce lien dirigera ensuite les utilisateurs vers un site Web malveillant qui mettra en œuvre la technique de contrebande HTML et déploiera le fichier de téléchargement malveillant dans le système cible.

La contrebande HTML repose sur l’ingĂ©nierie sociale et l’interaction de l’utilisateur pour rĂ©ussir

Selon le long article de blog de Microsoft sur la question, la tentative d’attaque repose sur l’ingĂ©nierie sociale et l’interaction de l’utilisateur pour rĂ©ussir. Cela signifie que l’attaque ne se produira pas si l’utilisateur ne clique pas sur le lien hypertexte envoyĂ© par e-mail. Cependant, s’ils cliquent dessus, la page HTML tĂ©lĂ©chargera un fichier .ZIP intĂ©grĂ© avec un JavaScript obfusquĂ©, comme on le voit dans la campagne Mekotio.

Si l’utilisateur ouvre le fichier .ZIP et exĂ©cute le JavaScript, une connexion au site Web malveillant est Ă©tablie. Un autre fichier .ZIP est ensuite tĂ©lĂ©chargĂ©, se faisant passer pour une image .PNG. Ce deuxième fichier .ZIP contient deux fichiers de bibliothèque de liens dynamiques (.DLL) – l’un lĂ©gitime (sptdintf.dll) et l’autre malveillant (imgengine.dll) qui est masquĂ©. Ce dernier fichier accède aux donnĂ©es de gĂ©olocalisation du système cible et essaie le vol d’informations d’identification et l’enregistrement de frappe. Un troisième fichier est un fichier exĂ©cutable lĂ©gitime qui est renommĂ© “Disc Soft Bus Service Pro”, qui charge les deux .DLL susmentionnĂ©s.

Ainsi, les utilisateurs sont avertis de l’ouverture d’e-mails suspects et Ă©vitent de cliquer sur des liens sur l’un d’entre eux, en particulier si l’expĂ©diteur est inconnu. La dĂ©fense contre la contrebande de HTML nĂ©cessite une “vĂ©ritable dĂ©fense en profondeur”, ont poursuivi les chercheurs. L’utilisation de Microsoft 365 Defender, avec ses fonctionnalitĂ©s de liens sĂ©curisĂ©s et de pièces jointes sĂ©curisĂ©es, sa plate-forme de protection des terminaux et ses fonctionnalitĂ©s de dĂ©tection et de rĂ©ponse des terminaux, pourrait offrir la protection nĂ©cessaire contre de telles attaques, ont notĂ© les chercheurs.

Article connexe : WordPress, les utilisateurs de Linux menacĂ©s par de nouveaux logiciels malveillants : Principaux signes avant-coureurs d’une attaque par Capoae