Getty Images
Le dernier jour de mai, l’une de mes boîtes de réception a commencé à recevoir des e-mails, prétendument de l’un des propriétaires du studio de yoga que je visite. Il s’agissait d’un message que j’avais envoyé en janvier via le site Web du studio et qui avait été résolu le lendemain dans un e-mail envoyé par le copropriétaire. Maintenant, elle était là, quatre mois plus tard, m’envoyant à nouveau un e-mail.
“Énumérés ci-dessous les documents dont nous avons discuté la semaine dernière”, a écrit l’auteur de l’e-mail. “Contactez-moi si vous avez des questions sur les fichiers joints.” Un fichier zip protégé par mot de passe était joint. Sous le corps du message se trouvait la réponse que le copropriétaire m’a envoyée en janvier. Ces e-mails ont commencé à arriver une ou deux fois par jour pendant les deux semaines suivantes, chacun provenant d’une adresse différente. Les fichiers et les mots de passe étaient souvent modifiés, mais le format de base, y compris le fil de discussion des e-mails de janvier, est resté cohérent.
Avec l’aide de chercheurs de la société de sécurité Proofpoint, je sais maintenant que les e-mails sont l’œuvre d’un groupe criminel qu’ils appellent TA578. TA578 est ce que l’on appelle dans le secteur de la sécurité un courtier d’accès initial. Cela signifie qu’il compromet en masse les appareils des utilisateurs finaux de manière opportuniste, en spammant autant d’adresses que possible avec des fichiers malveillants. Le gang vend ensuite l’accès aux machines qu’il compromet à d’autres acteurs de la menace, pour une utilisation dans les ransomwares, le cryptojacking et d’autres types de campagnes.
Qu’est-ce que le détournement de thread ?
D’une manière ou d’une autre, les membres du groupe ont compris le message que j’ai envoyé à mon studio de yoga. L’explication la plus simple serait que l’ordinateur ou le compte de messagerie du propriétaire du studio a été compromis, mais il existe d’autres possibilités. En possession de mon adresse e-mail et de l’e-mail authentique que le propriétaire m’avait envoyé en janvier, TA578 disposait désormais des matières premières pour exercer son métier.
“Les messages de cette campagne semblent être des réponses à des fils de discussion précédents et bénins”, a écrit Proofpoint dans un e-mail répondant aux questions. “Cette technique est appelée détournement de fil. Les acteurs de la menace utilisent cette technique pour faire croire au destinataire qu’il interagit avec une personne en qui il a confiance, afin qu’il soit moins susceptible de se méfier du téléchargement ou de l’ouverture des pièces jointes qui pourraient lui être envoyées dans le cadre de la conversation. . Les auteurs de menaces volent généralement ces messages bénins par le biais d’infections antérieures par des logiciels malveillants ou de compromissions de compte. »
Publicité
Une fois décompressés, les fichiers joints installaient Bumblebee, un téléchargeur malveillant que plusieurs acteurs malveillants utilisent pour télécharger et exécuter des charges utiles supplémentaires sur la machine compromise. Proofpoint a observé pour la première fois des acteurs de la menace utilisant Bumblebee dans des campagnes par e-mail en mars.
Les fichiers joints aux e-mails que j’ai reçus contenaient un fichier ISO ou IMG intégré ainsi qu’un fichier de raccourci LNK et un fichier DLL. Le fichier LNK est utilisé pour exécuter la DLL à un point d’entrée spécifique pour démarrer le logiciel malveillant. Selon Proofpoint, les campagnes TA578 Bumblebee continuent généralement à télécharger des charges utiles de deuxième étape de logiciels malveillants Cobalt Strike et Meterpreter.
Heureusement, j’ai su presque immédiatement que les e-mails étaient malveillants, mais il n’est pas difficile de voir comment certaines personnes pourraient tomber dans le piège. Qui aurait pensé qu’un message de routine envoyé à un studio de yoga ouvrirait la porte à une attaque de malware ?
J’ai envoyé un e-mail au propriétaire et expliqué la série d’événements et averti qu’un compte ou une machine que le studio utilisait était presque certainement compromis. Je n’ai jamais reçu de réponse. Lorsque j’ai suivi, en envoyant un autre message via la page Web du studio, quelqu’un a répondu : “Je suis désolé d’apprendre que vous recevez ce type de communication, mais il n’y a aucun système ou serveur de notre côté qui vous enverrait des e-mails. Je revérifierais pour m’assurer que ce n’est pas quelque chose qui ne va pas de votre côté.”
Tout cela pour dire que recevoir ces types d’e-mails malveillants est à peu près une réalité en 2022. Si vous magasinez ou socialisez en ligne, il est presque inévitable que quelqu’un dans la chaîne soit compromis, et ce point final sera exploité dans l’espoir de vous infecter.
Le point à retenir : attendez-vous à recevoir des e-mails malveillants de personnes ou d’adresses que vous pensez reconnaître en utilisant de vrais fils de discussion que vous avez reçus dans le passé. Lorsque quelque chose semble hors de propos, prenez du recul et commencez une discussion dans un fil de discussion séparé ou appelez la personne directement. Et comme le montre mon expérience avec mon studio de yoga, ne vous attendez pas à ce que l’autre personne comprenne ce qui se passe. Surtout, ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes.
