Cyberattaque : se faire passer pour le support IT pour prendre pied

L’approche n’est pas nouvelle mais apparaît fonctionner et continuer d’être intensément utilisée. Le principe est simple : envoyer un phishing visant à leurrer son destinataire pour qu’il appelle un faux numéro de support informatique. De là, un faux technicien berne sa victime en devenir, lui faisant installer un outil légitime d’administration à distance. Ça y est, il a glissé son pied dans la porte et dispose d’un accès initial.

Cette tactique a déjà été utilisée par le passé, notamment lors de la campagne BazarCall connue pour avoir débouché sur le déploiement du maliciel BazarLoader, puis sur des attaques s’achevant sur le déclenchement des rançongiciels Ryuk et Conti. 

Après la dissolution de Conti, plusieurs de ses sous-groupes ont continué d’exploiter cette tactique, le Silent Ransom Group (SRG), Quantum, et Roy/Zeon. SRG est également suivi sous les désignations Luna Moth, UNC3753 et Storm-052. 

Selon Arda Büyükkaya, chercheur chez EclecticIQ, qui a partagé avec LeMagIT un rapport de recherche interne, SRG s’est lancé, depuis le mois de mars, dans une importante campagne d’établissement d’accès initiaux suivant cette tactique. 

Mais cette fois-ci, Luna Moth ne vise pas la double extorsion, privilégié la simple extorsion, à savoir le vol de données et le chantage à sa divulgation. 

Pour leurrer ses victimes en devenir, Luna Moth enregistre des noms de domaine composés du nom de l’entreprise visée et du mot « helpdesk ».

Les noms de domaine sont enregistrés chez GoDaddy, dont l’infrastructure est également détournée pour envoyer des mails de confirmation aux victimes en devenir pouvant avoir l’air légitimes ou, à tout le moins, contournant certains filtres de messagerie électronique.

Mieux encore, explique Arda Büyükkaya, les acteurs malveillants ont également recours à la plateforme de support client et de dialogue interactif en ligne de GoDaddy pour discuter avec leurs victimes en devenir en se faisant passer pour un authentique service de support informatique : « ces chatbots copient les interactions légitimes de support IT aidant les attaquants à discuter en temps réel avec les victimes et à accélérer la chaîne cinétique d’attaque ».

Pour le contrôle à distances des machines des victimes, Luna Moth utilise les outils d’Atera, AnyDesk, Splashtop, SuperOps, Syncro ou encore Zoho Assist.

Une fois le contrôle pris, les attaquants ont recours à WinSCP et Rclone pour exfiltrer les données de leur victime.