Les cybercriminels spamment les formulaires de contact des sites Web et les forums de discussion pour distribuer des fichiers Excel XLL qui téléchargent et installent le mot de passe RedLine et les logiciels malveillants de vol d’informations.
RedLine est un cheval de Troie voleur d’informations qui vole les cookies, les noms d’utilisateur et les mots de passe et les cartes de crédit stockés dans les navigateurs Web, ainsi que les informations d’identification et les fichiers FTP d’un appareil infecté.
En plus de voler des données, RedLine peut exécuter des commandes, télécharger et exécuter d’autres logiciels malveillants et créer des captures d’écran de l’écran Windows actif.
Toutes ces données sont collectées et renvoyées aux attaquants pour être vendues sur des marchés criminels ou utilisées pour d’autres activités malveillantes et frauduleuses.
Spamming formulaires de contact et forums de discussion
Au cours des deux dernières semaines, les formulaires de contact de EZpublish-france.fr ont été spammés à de nombreuses reprises avec différents leurres de phishing, notamment de fausses demandes de publicité, des guides de cadeaux de vacances et des promotions sur le site Web.
Après avoir recherché les leurres, EZpublish-france.fr a découvert qu’il s’agissait d’une campagne généralisée ciblant de nombreux sites Web utilisant des forums publics ou des systèmes de commentaires d’articles.
Dans certains leurres de phishing vus par EZpublish-france.fr, les acteurs de la menace ont créé de faux sites Web pour héberger les fichiers Excel XLL malveillants utilisés pour installer le logiciel malveillant.
Par exemple, une campagne a utilisé le message de spam suivant et un faux site Web qui imitait le site légitime Plutio.
Tout ce dont vous avez besoin pour gérer votre entreprise. Gérez des projets, créez des propositions éblouissantes et soyez payé plus rapidement. Vendredi noir! Tous les plans sont GRATUITS, aucune carte de crédit requise.
Source : BleepingOrdinateur
D’autres messages de spam prétendent être des rapports de paiement, des demandes de publicité ou des guides cadeaux avec des liens vers des fichiers XLL malveillants hébergés sur Google Drive, comme indiqué ci-dessous.
Source : BleepingOrdinateur
Un leurre ciblant les propriétaires de sites Web avec des demandes de publicité sur leur site et leur demandant de revoir les termes de l’offre est particulièrement intéressant. Cela conduit à un fichier malveillant « terms.xll » qui installe le logiciel malveillant.
Vendez-nous des espaces publicitaires sur votre site à partir de 500$
Vous pouvez lire nos conditions sur le lien ci-dessous
https://drive.google[.]com/file/d/xxx/view?usp=sharing
Les autres leurres vus par EZpublish-france.fr cette semaine sont :
Merci d’avoir utilisé notre application. Votre paiement a été approuvé. Vous pouvez voir votre rapport de paiement sur le lien ci-dessous https://xxx[.]lien/rapport.xll
Google vient de dévoiler les 100 cadeaux les plus chauds de 2021
J’ai gagné 10 000 $. Vous le voulez aussi ? Lire et accepter les conditions
https://drive.google[.]com/file/d/xxx/view?usp=sharing
Abus de fichiers Excel XLL
Ces campagnes de spam sont conçues pour diffuser des fichiers Excel XLL malveillants qui téléchargent et installent le logiciel malveillant RedLine sur les appareils Windows des victimes.
Un fichier XLL est un complément qui permet aux développeurs d’étendre les fonctionnalités d’Excel en lisant et en écrivant des données, en important des données à partir d’autres sources ou en créant des fonctions personnalisées pour effectuer diverses tâches.
Les fichiers XLL sont simplement un fichier DLL qui inclut une fonction « xlAutoOpen » exécutée par Microsoft Excel lorsque le complément est ouvert.
Source : BleepingOrdinateur
Alors que les tests effectués par EZpublish-france.fr et chercheur en sécurité L’analyste, avec qui nous avons discuté de l’attaque, ne chargent pas correctement le fichier XLL, ils peuvent fonctionner dans d’autres versions de Microsoft Excel.
Cependant, l’exécution manuelle de la DLL avec la commande regsvr32.exe ou la commande ‘rundll32 name.xll, xlAutoOpen’ extraira le programme wget.exe dans le dossier %UserProfile% et l’utilisera pour télécharger le binaire RedLine à partir d’un site distant.
Source : BleepingOrdinateur
Ce binaire malveillant est enregistré sous le nom %UserProfile%JavaBridge32.exe [VirusTotal] puis exécuté.
Une entrée d’exécution automatique du registre sera également créée pour lancer automatiquement le voleur d’informations RedLine à chaque fois que les victimes se connectent à Windows.
Source : BleepingOrdinateur
Une fois le malware exécuté, il recherchera des données précieuses à voler, y compris les informations d’identification et les cartes de crédit stockées dans les navigateurs Chrome, Edge, Firefox, Brave et Opera.
Si vous êtes victime de cette campagne, vous devez supposer que vos mots de passe stockés sont compromis et les modifier immédiatement. De plus, si vous avez des cartes de crédit stockées dans vos navigateurs, vous devez contacter votre compagnie de carte de crédit pour l’alerter de l’incident.
Comme les fichiers XLL sont des exécutables, les acteurs malveillants peuvent les utiliser pour exécuter divers comportements malveillants sur un appareil. Par conséquent, vous ne devez jamais en ouvrir un à moins qu’il ne provienne d’une source fiable.
Ces fichiers ne sont généralement pas envoyés sous forme de pièces jointes, mais installés via un autre programme ou via votre administrateur Windows.
Par conséquent, si vous recevez un e-mail ou un autre message distribuant ces types de fichiers, supprimez simplement le message et signalez-le comme spam.
CIO
Fichiers XLL :
terms.xll, report.xll, terms_of_use.xll f6c06615e35798274dfa9c4b28aaa6d94220804e766e9a70c4f0dab4779ee1db
Ligne rouge:
JavaBridge32.exe: 626db53138176b8a371878ebaa2dbbd724be9a74f9f82ef9ebb7b7bfc0c6b2e9