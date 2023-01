La CISA met en garde contre une menace accrue de piratage à l'aide d'outils de bureau à distance légaux.



Hier, la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Multi-State Information Sharing and Analysis Center (MS-ISAC) ont publié un avis conjoint de cybersécurité mettant en garde les défenseurs du réseau contre les attaques de phishing qui exploitent les logiciels de surveillance et de gestion à distance (RMM). Cet avis fait suite à la découverte par le CISA d'une activité RMM malveillante sur deux réseaux de la branche exécutive civile fédérale (FCEB) et à l'identification de cette activité comme faisant partie d'une campagne plus vaste d'escroquerie au remboursement.







Les logiciels RMM, similaires aux logiciels de bureau à distance, fournissent aux utilisateurs un ensemble d'outils pour accéder à distance aux systèmes informatiques et les gérer. Malheureusement, comme nous l'avons signalé récemment, les acteurs de la menace ont commencé à utiliser ce logiciel légitime à la place de logiciels malveillants pour accéder aux appareils des victimes. Comme le logiciel RMM est également utilisé par ceux qui fournissent une assistance informatique authentique, il peut être difficile pour les utilisateurs de distinguer les utilisations légitimes et malveillantes de ce logiciel, en particulier lorsque les acteurs de la menace se font passer pour des techniciens d'assistance informatique.







À partir de juin 2022, le personnel de la FCEB a commencé à recevoir des courriels d'hameçonnage indiquant de fausses factures inattendues. Certains de ces courriels invitaient les destinataires à visiter directement des sites Web d'assistance frauduleux, tandis que d'autres les invitaient à appeler des numéros de téléphone du service clientèle. Les appels à ces numéros étaient pris en charge par de faux agents d'assistance à la clientèle qui dirigeaient les appelants vers les mêmes sites Web d'assistance frauduleux que ceux liés à d'autres courriels de hameçonnage.



Ces sites Web proposaient aux visiteurs des exécutables du logiciel RMM en leur faisant croire que les agents du service clientèle utiliseraient le logiciel pour résoudre les problèmes liés au processus de remboursement des factures. Étant donné que les exécutables portables sautent le processus d'installation et lancent directement les programmes, le logiciel RMM distribué par les acteurs de la menace pouvait contourner les contrôles de sécurité bloquant l'installation de programmes non approuvés. Le logiciel RMM, qu'il s'agisse d'AnyDesk ou de ScreenConnect, était configuré pour se connecter automatiquement aux serveurs RMM des acteurs de la menace, ce qui permettait à ces derniers d'accéder aux ordinateurs des victimes peu après leur lancement.



Une fois le logiciel RMM lancé, les acteurs de la menace continuaient à se faire passer pour des agents du service clientèle, demandant aux victimes de se connecter à leur compte bancaire dans leur navigateur Web pour vérifier le remboursement des fausses factures. Les acteurs de la menace ont ensuite exploité leur accès aux systèmes des victimes pour modifier les interfaces bancaires afin d'afficher des remboursements supérieurs au montant prévu. Enfin, les faux agents du service clientèle expliquaient ces remboursements excessifs comme des erreurs et guidaient les victimes dans le processus de "restitution" de l'argent excédentaire.



L'avis de cybersécurité avertit que, bien que cette campagne de phishing particulière semble motivée par des raisons financières, tout accès non autorisé persistant établi par les acteurs de la menace pourrait être exploité ultérieurement à des fins plus néfastes. Les mesures d'atténuation recommandées comprennent l'audit des outils d'accès à distance sur les réseaux concernés et l'examen des journaux pour vérifier toute activité non autorisée. L'avis énumère les indicateurs de compromission (IOC), que les organisations peuvent utiliser pour vérifier l'activité associée à la campagne de phishing particulière mise en évidence dans l'avis.



HOTHARDWARE