Une campagne d'hameçonnage vise les entreprises

Cisco vient d’alerter sur une vaste campagne d'hameçonnage visant les entreprises en les incitants à se connecter au centre de gestion des licences en volume de Microsoft.

Dans un billet de blog, l’équipementier détaille le scénario. Tout commence par un e-mail provenant apparemment de Microsoft. Dans celui-ci, un lien envoie vers une URL différente de celle lisible dans le message. La véritable adresse est celle d’un site Wordpress compromis : « cliquer le lien finissant par 1.php exécute une fonction qui utilise JavaScript pour afficher la véritable page d’authentification du Microsoft Volume License Center, et lance le téléchargement d’un cheval de Troie sous la forme d’un fichier .zip ».

Ce dernier contient un fichier exécutable plutôt sophistiqué : manifestement doté de mécanismes de détection d’environnements de confinement – ou sandbox –, le logiciel malveillant a refusé de s’exécuter dans quatre d’entre eux. C’est donc sur un véritable PC que les équipes de Cisco ont du analyser le logiciel, une variante de Chanitor.

Une demi-surprise, sachant que des logiciels malveillants conçus pour détecter les environnements d’analyse virtualisés ont déjà été observés. D’où le choix, pour certains, de l’émulation – dont Barracuda Networks, avec Lastline.

Mais pour Cisco, la principale leçon de cette campagne est ailleurs : « les attaquants ciblent les utilisateurs en entreprise via des techniques d'hameçonnage améliorées ». Là, pas de véritable surprise, mais la confirmation d’une menace qui ne cesse d’évoluer.