Deux nouvelles campagnes de phishing ont été identifiées, ciblant les travailleurs à distance.

Une campagne se fait passer pour LogMeIn tandis que l’autre exploite la pandémie du COVID-19 pour fournir un outil d’administration à distance légitime qui permet aux attaquants de prendre le contrôle total du dispositif d’un utilisateur.

Usurper LogMeIn pour voler des informations d’identification

Les travailleurs à distance sont ciblés par une campagne de phishing qui usurpe le nom de LogMeIn, un service de connectivité dans le cloud très populaire utilisé pour la gestion et la collaboration informatiques à distance.

Les e-mails de phishing prétendent qu’une nouvelle mise à jour a été publiée pour LogMeIn. Les messages semblent avoir été envoyés par l’expéditeur automatique légitime de LogMeIn. Ils incluent le logo LogMeIn et prétendent qu’une nouvelle mise à jour de sécurité a été publiée pour corriger une nouvelle vulnérabilité de type « zero-day » qui affecte LogMeIn Central et LogMeIn Pro.

Un lien fourni dans l’e-mail semble diriger le destinataire vers le site web accounts.logme.in. Un avertissement est également fourni pour ajouter l’urgence afin que l’utilisateur prenne des mesures immédiates. Le message menace l’utilisateur de suspendre l’abonnement au service si la mise à jour n’est pas appliquée.

Le texte d’ancrage utilisé dans l’e-mail masque le véritable site où l’utilisateur sera dirigé. S’il clique dessus, il sera dirigé vers une URL LogMeIn usurpée convaincante où les informations d’identification sont récoltées.

Ces dernières semaines, on a constaté une augmentation des attaques de phishing qui usurpent des outils de travail à distance tels que LogMeIn, Microsoft Teams, Zoom, GoToMeeting et Google Meet. Toute demande envoyée via la messagerie électronique pour mettre à jour un logiciel de sécurité ou pour prendre d’autres mesures urgentes doit être traitée comme suspecte.

Visitez toujours le site officiel en entrant l’URL intégré au message dans la barre d’adresse ou utilisez vos signets standard et n’utilisez jamais les informations fournies dans un e-mail. Si la mise à jour de sécurité est authentique, vous en serez informé lors de votre connexion.

Utilisation l’outil d’administration à distance NetSupport pour prendre le contrôle des ordinateurs portables des employés en télétravail

Une campagne de phishing à grande échelle a également été détectée. Elle utilise des pièces jointes Excel malveillantes pour fournir un outil d’accès à distance légitime qui est utilisé par les attaquants pour prendre le contrôle de l’ordinateur d’une victime.

Les e-mails utilisés lors de cette campagne semblent avoir été envoyés depuis le Johns Hopkins Center. Ils prétendent fournir une mise à jour quotidienne sur les décès liés au COVID-19 aux États-Unis. Le fichier Excel joint à l’e-mail (covid_usa_nyt_8072.xls) affiche un graphique tiré du New York Times, détaillant les cas de nouveaux décès liés au COVID-19.

Lorsqu’il est ouvert, l’utilisateur est sollicité pour activer le contenu. Le fichier Excel contient une macro Excel 4.0 malveillante qui télécharge un client NetSupport Manager à partir d’un site web distant si le contenu est activé, et une application sera automatiquement exécutée.

Le cheval de Troie d’accès à distance (RAT) NetSupport livré dans le cadre de cette campagne télécharge des composants supplémentaires, notamment des fichiers exécutables, un VBScript et un script PowerShell obscurci basé sur PowerSploit. Une fois installé, il se connectera à son serveur C2, ce qui permettra à l’attaquant d’envoyer d’autres commandes.

Bloquer les attaques de phishing et les malwares avec SpamTitan et WebTitan Cloud

La clé pour bloquer les attaques de phishing est de mettre en place des défenses anti-phishing à plusieurs niveaux. SpamTitan sert de couche de protection supplémentaire pour la messagerie électronique.

Il fonctionne en tandem avec les mesures de sécurité antispam mises en œuvre par Google (G-Suite) et Microsoft (Office 365) pour fournir un niveau de protection plus élevé, en particulier contre les attaques sophistiquées et les menaces du type zero day.

SpamTitan comprend lui-même plusieurs couches de sécurité pour bloquer les menaces, notamment deux antivirus, un système de sandboxing, le protocole DMARC et des technologies prédictives pour identifier les menaces de phishing et de malwares qui n’ont jamais été vues auparavant.

WebTitan Cloud sert de couche de protection supplémentaire contre les composantes web des attaques de phishing, en vérifiant tous les liens contenus dans les e-mails entrants chaque fois qu’un clic est effectué (Time-of-Click Protection).

Il peut bloquer les tentatives des employés de visiter des sites de phishing dont les liens malveillants sont fournis dans des e-mails et les redirections vers des sites web malveillants lorsque les utilisateurs naviguent sur le web.

WebTitan fonctionne en tandem avec les solutions de sécurité des e-mails pour accroître la protection des employés, quel que soit l’endroit où ils utilisent l’Internet, et permet de définir des politiques différentes lorsqu’ils sont sur le réseau et hors réseau de votre entreprise.

Vous voulez plus d’informations sur ces puissantes solutions de cybersécurité ? Appelez dès aujourd’hui l’équipe de TitanHQ pour réserver une démonstration et pour recevoir une assistance pour la mise en place d’un essai gratuit de tous nos produits.