- En mai 2024, ESET a identifié neuf campagnes de phishing significatives utilisant ModiLoader, ciblant des PME de la Pologne, la Roumanie et l'Italie.
- La Pologne a été la cible principale, avec sept des neuf campagnes. Dans ce pays, les solutions ESET ont protégé plus de 21 000 utilisateurs contre ces menaces.
- Les cybercriminels ont utilisé ModiLoader pour déployer trois types de logiciels malveillants voleurs d'informations : Rescoms, Agent Tesla et Formbook.
- Pour mener leurs attaques, les attaquants ont exploité des infrastructures d'entreprises compromises pour diffuser leurs malwares, les héberger et collecter les données volées.
En mai 2024, les chercheurs d'ESET ont identifié neuf campagnes de phishing massives ciblant les PME en Pologne, Roumanie et Italie, propageant diverses familles de malwares. Par rapport à 2023, les attaquants ont délaissé AceCryptor au profit de ModiLoader comme principal outil de distribution, tout en élargissant leur arsenal de logiciels malveillants. Les cybercriminels ont exploité des comptes de messagerie et des serveurs d'entreprise compromis pour diffuser des e-mails malveillants, héberger des malwares et collecter les données volées. Durant ce seul mois, les solutions ESET ont protégé plus de 26 000 utilisateurs contre ces menaces, dont 80% (plus de 21 000) en Pologne.
Jakub Kaloč, analyste de ces campagnes de phishing, a déclaré : « Nous avons recensé neuf campagnes de phishing au total, dont sept ciblant la Pologne tout au long du mois de mai. Les charges utiles finales destinées à être livrées et exécutées sur les machines compromises étaient variées. Nous avons détecté des campagnes utilisant le voleur d'informations Formbook, le cheval de Troie d'accès à distance et voleur d'informations Agent Tesla, ainsi que Rescoms RAT, un logiciel de contrôle et de surveillance à distance capable de dérober des informations sensibles. », ajoute-t-il.
Toutes les campagnes ont suivi un schéma similaire : l'entreprise ciblée recevait un e-mail contenant une offre commerciale. Comme observé lors des campagnes de phishing du second semestre 2023, les attaquants ont adopté une stratégie d'usurpation d'identité, se faisant passer pour des entreprises existantes et leurs employés. Cette tactique visait à augmenter le taux de réussite de leurs opérations. Ainsi, même si la victime potentielle recherchait les signes habituels d'une tentative de phishing, ceux-ci étaient absents, rendant l'e-mail aussi légitime que possible en apparence.
Les e-mails de toutes les campagnes comportaient une pièce jointe malveillante que la victime était incitée à ouvrir, selon le contenu du message. Cette pièce jointe était soit un fichier ISO, soit une archive contenant l'exécutable ModiLoader. ModiLoader, un téléchargeur conçu en Delphi, avait pour unique fonction de télécharger et d'exécuter des logiciels malveillants. Dans deux des campagnes, les échantillons de ModiLoader étaient configurés pour télécharger le malware suivant depuis un serveur compromis appartenant à une entreprise hongroise. Pour les autres campagnes, ModiLoader récupérait la charge utile suivante depuis le stockage cloud Microsoft OneDrive.
Pour plus d'informations sur les campagnes ModiLoader, consultez l'article blog « Le phishing ciblant les PME polonaises continue via ModiLoader » sur WeLiveSecurity-com.
Contact Presse :
Laura PACCAGNELLA : +33 01 55 89 08 88 - laura.p@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Instagram.