Microsoft révèle qu’un nouveau malware s’attaque au secteur de l’aviation

Microsoft met en garde les entreprises du secteur de l'aviation : un nouveau malware cherche à s'emparer de leurs données à leur insu. Pour propager le logiciel malveillant sur les ordinateurs des victimes, les pirates envoient des courriels factices aux employés. 

Dans un thread sur Twitter publié ce 11 mai 2021, Microsoft détaille le fonctionnement de cette campagne de phishing d'envergure. “Microsoft a suivi la trace d'une campagne dynamique ciblant les secteurs de l'aérospatiale et du voyage avec des e-mails de phishing” annonce Microsoft.

D'après l'enquête réalisée par Microsoft, cette campagne d'hameçonnage s'appuie sur deux malwares s'appuyant sur un code similaire : RevengeRAT et AsyncRAT. Ces logiciels malveillants sont conçus pour infiltrer les ordinateurs des victimes sans laisser la moindre trace de leur passage.

Lire également : Kaspersky découvre un malware-espion de la CIA “indétectable” qui sévit depuis 2014

Une campagne phishing vise les employés Airbus, met en garde Microsoft

Pour installer les maliciels sur l'ordinateur de leurs victimes, les pirates cachent un logiciel capable d'installer ceux-ci automatiquement dans des courriels en apparence innocents. “La campagne de phishing utilise des e-mails qui usurpent l'identité des organisations légitimes, avec des leurres pertinents pour l'aviation, les voyages ou le fret. Une image se présentant comme un fichier PDF contient un lien incorporé qui télécharge un script malveillant destiné à installer le malware” détaille Microsoft. Comme souvent, les pirates utilisent un “dropper” (ou compte-gouttes), un outil informatique qui cache le code malveillant.

Le mail de phishing mis en avant par Microsoft montre un mail visant les employés d'Airbus, un constructeur aéronautique européen. Pour attiser l'intérêt des victimes, le mail invite celles-ci à une série de conférences organisées par Airbus. L'événement est évidement fictif mais les attaquants recommandent aux employés de confirmer leur présence. Pour obtenir plus d'informations sur l'événement, les escrocs demandent aux internautes de télécharger le fichier PDF glissé en pièce jointe.

Une fois installé, le malware aspire les données contenues sur l'ordinateur de la victime. Les pirates derrière la campagne utilisent “des chevaux de Troie d'accès à distance pour le vol de données”. Ces informations confidentielles sont ensuite transférées sur des serveurs à distance. Si vous travaillez chez Airbus, ou une autre firme de l'aviation, on vous recommande la plus grande prudence.