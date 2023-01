TL; DR : L’Agence de sécurité de la cybersécurité et des infrastructures (CISA), l’Agence de sécurité nationale (NSA) et le Centre d’analyse et de partage d’informations multi-États (MS-ISAC) ont publié un avertissement conjoint indiquant que les acteurs de la menace (TA) intensifient une campagne de piratage/hameçonnage utilisant un logiciel légitime de surveillance et de gestion à distance (RMM). La CISA note qu’elle a découvert de multiples attaques au sein des réseaux de l’exécutif civil fédéral (FCEB).

En septembre 2022, la CISA a effectué des audits sur plusieurs réseaux FCEB et a constaté qu’ils avaient été victimes d’une « campagne de phishing généralisée à motivation financière ». Un mois plus tard, les chercheurs en sécurité de Silent Push ont signalé une campagne de chevaux de Troie de « typosquattage » impliquant plusieurs domaines de confiance, notamment PayPal, Microsoft, Geek Squad et Amazon. Mercredi, la CISA a confirmé que plusieurs membres du personnel fédéral étaient tombés dans le piège de la campagne de phishing sur le thème du service d’assistance.

« [We] évaluent que depuis au moins juin 2022, des cybercriminels ont envoyé des e-mails de phishing sur le thème du service d’assistance aux adresses e-mail personnelles et gouvernementales du personnel fédéral de la FCEB », indique l’alerte.

Les escroqueries sont un peu plus sophistiquées que les e-mails de phishing typiques que la plupart des gens ignorent. Surnommés « hameçonnage de rappel », des e-mails sont envoyés qui semblent légitimes, comme celui ci-dessus de « Geek Squad ». Les e-mails prennent la forme d’un test de renouvellement automatique d’abonnement à prix élevé et énumèrent un numéro à appeler pour annuler la charge automatique ou un lien vers un « domaine malveillant de première étape ». Ce sont des pages qui imitent des entreprises légitimes comme PayPal. Les URL sont également déguisées, par exemple, paypalsec.com.

Lorsque les cibles appellent le numéro ou visitent le domaine, elles sont convaincues de télécharger un logiciel d’assistance RMM légitime à partir d’un domaine de deuxième étape, le CISA spécifiquement nommé ScreenConnect et AnyDesk. Les acteurs malveillants utilisent des exécutables portables pour contourner les protections de sécurité empêchant les employés d’installer des logiciels. Les exécutables portables sont des fichiers .exe qui s’exécutent sans être installés sur l’ordinateur, et la plupart des logiciels de partage de bureau en disposent.

Une fois que les TA ont accès à la cible via le logiciel RMM, ils tentent d’exécuter une arnaque de remboursement. Cette attaque consiste à convaincre la victime d’accéder à son compte bancaire, puis à modifier l’écran récapitulatif de son compte pour donner l’impression que l’entreprise a remboursé trop d’argent. L’escroc demande alors à la cible de refacturer les fonds excédentaires.

Combattez les fraudeurs avec le feu.

« Les attaquants ont utilisé le logiciel d’accès à distance pour modifier les informations récapitulatives du compte bancaire de la victime afin de montrer qu’ils avaient remboursé par erreur une somme d’argent excédentaire, puis ont demandé à la victime de » rembourser « ce montant excédentaire », a déclaré la CISA.

L’test n’énumère pas les réseaux FCEB spécifiques qui pourraient avoir été victimes, ni ne mentionne de dommages ou de pertes financières. Il s’agissait principalement d’un avertissement pour sensibiliser les agences et leur expliquer comment atténuer leurs risques. La CISA répertorie des mesures administratives préventives simples telles que le blocage des e-mails de phishing, l’audit des outils d’accès à distance, l’test des journaux pour les instances d’exécution RMM et d’autres mesures d’hygiène de sécurité de bon sens. La CISA comprenait une infographie informative, sinon quelque peu grinçante, pour les personnes intéressées.