Accueil High-Tech Les collectivités locales américaines sont visées par une campagne d’hameçonnage exploitant la...

Les collectivités locales américaines sont visées par une campagne d’hameçonnage exploitant la vulnérabilité de Windows de type « jour zéro ».

116
0

Une vulnérabilité de type « zero-day » de Windows, connue sous le nom de Follina, a attaqué des collectivités locales américaines et des gouvernements européens.

Une cyberattaque présumée soutenue par un État a exploité la vulnérabilité « Follina » de Microsoft Office pour cibler des organisations gouvernementales européennes et américaines.

Cette fois, même le gouvernement a été gravement touché.

Piratage du gouvernement américain

Selon The Hacker News, Proofpoint, une société spécialisée dans la sécurité des entreprises, a déclaré avoir empêché les tentatives d’exploitation de la vulnérabilité connue sous le nom de CVE-2022-30190, qui permet l’exécution de code à distance (score CVSS : 7,8). Un minimum d’un millier d’emails de phishing, contenant chacun un document appât, ont été délivrés aux cibles.

La société a déclaré sur Twitter : « Proofpoint a bloqué une campagne de phishing soupçonnée d’être alignée sur l’État et visant moins de 10 clients de Proofpoint (gouvernement européen et gouvernement américain local), qui tentait d’exploiter #Follina / #CVE_2022_30190. »

Proofpoint a ensuite ajouté que cette campagne prétendait être une offre d’augmentation de la rémunération et utilisait un fichier RTF contenant la charge utile de l’exploit, téléchargé depuis 45.76.53. [.]253.

Les attaquants ont séduit les employés en leur faisant miroiter des augmentations de salaire afin de les inciter à ouvrir les documents leurres, qui contenaient un script PowerShell utilisé comme charge utile finale.

Lire aussi :  Starlink peut désormais être portable - mais combien cela va-t-il vous coûter ?

Ce script est utilisé pour déterminer si le système en question est une machine virtuelle, pour voler des informations à partir d’un certain nombre de navigateurs Web, de clients de messagerie et de services de fichiers, et pour recueillir des informations sur le système lui-même, qui sont ensuite envoyées à un serveur sous le contrôle de l’acteur malveillant.

Lire aussi: Publication des exploits de démonstration de la vulnérabilité CVE-2022-26134 d’Atlassian Confluence : Existe-t-il un correctif ?

Vulnérabilité de Windows

Cette attaque de phishing possède une charge utile finale PowerShell qui peut récolter une grande quantité de données personnelles pouvant être utilisées pour un accès personnel. Voici quelques-unes des données qui peuvent être compromises, telles que détaillées par Bleeping Computer :

  • Tout d’abord, dans Windows, il peut s’emparer de la liste des noms d’utilisateur, des informations sur l’ordinateur et des informations sur le domaine Windows.

  • Deuxièmement, il peut collecter les mots de passe des navigateurs tels que Mozilla Firefox, Google Chrome, Opera, Microsoft Edge, et bien d’autres encore.

  • Enfin, il peut collecter les données de sites tels que WeChat, Microsoft Office, les contacts Windows Live Mail, les mots de passe de Mozilla Thunderbird, Filezilla, et bien d’autres.

Lire aussi :  Les dernières caméras Nest de Google peuvent désormais fonctionner avec Amazon Alexa - Voici ce qu'elles offrent

L’attaquant peut ensuite installer des applications, lire, modifier ou supprimer des données, ou encore établir de nouveaux comptes dans le contexte autorisé par les droits de l’utilisateur. Toutes ces actions dépendent de la permission de l’utilisateur.

Proofpoint a également révélé la semaine précédente qu’un groupe de pirates ayant des liens avec la Chine, connu sous le nom de TA413, abuse désormais de cette vulnérabilité dans des attaques dirigées contre leur cible principale, à savoir la communauté tibétaine internationale.

En outre, MalwareHunterTeam, une équipe de chercheurs spécialisés dans la sécurité informatique, a découvert des documents dangereux portant des noms de fichiers chinois qui ont été utilisés pour déployer des chevaux de Troie voleurs de mots de passe.

Cependant, des attaques exploitées à partir de cette vulnérabilité Windows de type « zero-day » ont été détectées depuis le mois dernier, utilisant comme appât des menaces de sextorsion et des invitations à des interviews sur la radio Sputnik.

Malheureusement, les correctifs pour CVE-2022-30190 ne sont toujours pas disponibles. Après que Microsoft a révélé l’exploitation active de la faille dans la nature, le CISA a encouragé les administrateurs et les utilisateurs de Windows à désactiver MSDT.

Article connexe: Microsoft supprime officiellement les fonctions de type de données Money et Wolfram d’Excel

Article précédentLa société d’investissement pour la retraite IRA Financial poursuit le Crypto Exchange Gemini pour un piratage de 36 millions de dollars
Article suivantLes tests génétiques permettent de réduire la durée du séjour en unité de soins intensifs néonatals des nourrissons épileptiques.
Tras una licenciatura en economía, un máster en gestión estratégica y 18 meses de viaje por todo el mundo, empecé a trabajar como redactor de páginas web.