Les chercheurs en sécurité informatique de Proofpoint ont détecté une nouvelle campagne de phishing  lancée par des pirates à la solde du gouvernement iranien. Ces opérateurs ont trouvé une nouvelle astuce pour inciter les utilisateurs à télécharger des pièces jointes malveillantes.

Le phishing, ou l'hameçonnage dans la langue de Molière, reste l'une des techniques les plus utilisées par les pirates pour accéder aux données des utilisateurs. Les exemples récents ne manquent pas, comme cette campagne de phishing d'envergure sur Outlook capable de contourner la double authentification.

Autre exemple en fin juillet 2022, où une équipe spécialisée en cybersécurité a détecté une campagne de phishing qui exploitait un virus au sein de la calculatrice Windows. Or, nous venons d'apprendre ce mercredi 14 septembre 2022 que les experts en sécurité informatique de Proofpoint ont découvert une nouvelle campagne de phishing.

Selon eux, on retrouve à l'origine de cette opération les acteurs du groupe TA453, des pirates qui seraient liés au Corps des gardiens de la révolution islamique iranienne. La technique au centre de cette campagne n'est autre que le “sock-puppeting”. Pour résumer, les pirates tiennent des conversations par mail tout en incluant leurs victimes en copie cachée. L'objectif ? Les inciter à télécharger des pièces jointes contenant des fichiers malveillants.

Une campagne de phishing d'un nouveau genre

Mais voyons dans le détail la procédure : les pirates créent plusieurs faux comptes de messagerie, en volant l'identité de scientifiques, de cadres ou des directeurs d'entreprises. Ils envoient ensuite un courriel à un complice en glissant la victime en copie cachée. La conversation se poursuit ensuite, et les pirates font en sorte d'aborder des sujets sensibles pour aiguiser la curiosité de la victime.

De son point de vue, la victime pense être prise au milieu d'un fil d'emails qui ne lui est pas destiné. Après quelques jours d'échange, une pièce jointe est envoyée aux autres participants. Si la victime le télécharge et l'exécute sur son terminal, elle obtient un fichier .DOCX rempli de macros dangereuses.

À lire également : des pirates volent des millions d’euros en ciblant les sites de ventes entre particuliers

“Le modèle téléchargé, surnommé Korg par Proofpoint, comporte trois macros : Module1.bas, Module2.bas et ThisDocument.cls. Les macros collectent des informations telles que le nom d'utilisateur, la liste des processus en cours d'exécution ainsi que l'IP publique de l'utilisateur depuis my-ip.io, puis exfiltrent ces informations à l'aide de l'API Telegram”, expliquent les chercheurs.

Ce qui inquiète surtout Proofpoint, c'est que tous les mails utilisés dans cette attaque sont crées sur les principaux fournisseurs de messagerie, comme Gmail, Outlook et Hotmail. Donc gare à vous si vous vous retrouvez subitement dans une conversation mail tenue par des inconnus.