Une campagne de phishing en plusieurs étapes cible la Russie avec Amnesia RAT et Ransomware

Une nouvelle campagne de phishing en plusieurs étapes a été observée ciblant les utilisateurs en Russie avec un ransomware et un cheval de Troie d'accès à distance appelé Amnesia RAT.

"L'attaque commence par des leurres d'ingénierie sociale livrés via des documents à caractère commercial conçus pour paraître routiniers et inoffensifs", a déclaré Cara Lin, chercheuse chez Fortinet FortiGuard Labs, dans une panne technique publiée cette semaine. "Ces documents et scripts qui les accompagnent servent de distractions visuelles, détournant les victimes vers de fausses tâches ou de faux messages d'état tandis que les activités malveillantes s'exécutent silencieusement en arrière-plan."

La campagne se démarque pour plusieurs raisons. Premièrement, il utilise plusieurs services de cloud public pour distribuer différents types de charges utiles. Alors que GitHub est principalement utilisé pour distribuer des scripts, les charges utiles binaires sont hébergées sur Dropbox. Cette séparation complique les efforts de retrait, améliorant ainsi efficacement la résilience.

Une autre "caractéristique déterminante" de la campagne, selon Fortinet, est l'abus opérationnel de defensenot pour désactiver Microsoft Defender. Defendnot a été publié l'année dernière par un chercheur en sécurité qui s'appelle en ligne es3n1n afin de faire croire au programme de sécurité qu'un autre produit antivirus est déjà installé sur l'hôte Windows.

La campagne exploite l'ingénierie sociale pour distribuer des ...
[Courte citation de 8% de l'article original]