Le logiciel malveillant Muck Stealer est utilisé en parallèle avec le phishing dans de nouvelles vagues d'attaques.
Un nouveau rapport de Cofense révèle que les cybercriminels combinent phishing et malware, notamment Muck Stealer, Info Stealer, ConnectWise RAT et SimpleHelp RAT dans des attaques à double menace, ce qui les rend plus difficiles à combattre.
Selon les chercheurs en cybersécurité de Cofense, une société de renseignement sur les cybermenaces, les acteurs malveillants ont commencé à combiner phishing d'identifiants et logiciels malveillants. Cette double approche complique considérablement la défense des entreprises contre une attaque unique.
Par exemple, on pensait autrefois qu'un e-mail était soit une tentative d'hameçonnage d'identifiants, soit un logiciel malveillant. Aujourd'hui, les criminels utilisent une nouvelle stratégie. En combinant les deux méthodes, ils peuvent réussir même si une entreprise a investi massivement dans un domaine de protection plutôt que dans un autre.
Le rapport révèle que les attaquants utilisent plusieurs méthodes pour lancer ces attaques combinées. Lors d'une campagne menée en décembre 2024, les attaquants ont d'abord utilisé un téléchargeur malveillant qui a installé le logiciel malveillant Muck Stealer sur l'ordinateur d'une victime. Le logiciel malveillant a ensuite lancé une fausse page de connexion pour collecter des informations supplémentaires. Selon les chercheurs, ce fichier HTML a également servi à « masquer les activités de Muck Stealer ».
Lors d'une autre campagne menée en janvier 2025, l'approche a été inversée. Les victimes étaient d'abord redirigées vers une page de phishing où il leur était demandé de saisir leurs identifiants. Dès qu'elles avaient saisi leurs informations, un logiciel de vol d'informations personnalisé était téléchargé et installé sur leur ordinateur. Les chercheurs ont constaté que les criminels « doublaient et ciblaient très spécifiquement les identifiants Microsoft Office des victimes ».
Lors d'une autre campagne notable, des pirates ont usurpé l'identité de l'Agence américaine de sécurité sociale. Ces e-mails, axés sur les prestations sociales, contenaient un lien intégré qui, lorsqu'on cliquait, téléchargeait d'abord le RAT ConnectWise , puis redirigeait la victime vers une page de phishing détaillée. Cette page collectait ensuite des informations personnelles spécifiques que le logiciel malveillant ne pouvait pas obtenir, notamment le numéro de sécurité sociale de la victime, le nom de jeune fille de sa mère et le code PIN de son opérateur téléphonique.
Le rapport détaille également une campagne intéressante de juillet 2025, où la charge utile du malware variait selon l'appareil de la victime. Par exemple, un lien depuis un ordinateur Windows menait vers une fausse page du Microsoft Store téléchargeant SimpleHelp RAT (un logiciel permettant à un attaquant de contrôler l'ordinateur), tandis que le même lien sur un téléphone Android diffusait un autre type de malware conçu spécifiquement pour ce système.
Un point commun à nombre de ces campagnes est l'utilisation du RAT ConnectWise. Le rapport , partagé avec Hackread.com, conclut que la multiplication des méthodes d'attaque permet aux criminels de recueillir davantage d'informations et de contourner les mesures de sécurité conçues pour détecter un seul type de menace, marquant ainsi un changement notable dans le mode opératoire des cybercriminels.
HackRead
