Dans le monde de la cybersécurité, le phishing reste une méthode classique mais redoutablement efficace. Récemment, une campagne orchestrée par le groupe Luna Moth a remis cette stratégie sur le devant de la scène. Voici tout ce que vous devez savoir sur ces nouvelles menaces.

Une méthode bien rodée

La tactique employée par le groupe Luna Moth est d’une simplicité déconcertante. L’objectif : tromper le destinataire pour qu’il contacte un faux support informatique. Une fois le lien établi, un usurpateur prend les rênes et persuade sa victime d’installer un logiciel d’administration à distance. Résultat : un accès direct aux systèmes informatiques.

Cette approche n’est pas vraiment une surprise. Des précédents, comme la campagne BazarCall, avaient déjà démontré l’efficacité d’une telle méthode. Cette dernière a été une porte d’entrée pour des maliciels comme BazarLoader, entraînant des attaques qui ont mené à des rançongiciels tels que Ryuk et Conti.

Un héritage malveillant

Plusieurs groupes d’attaquants ont persisté via ces stratégies après la dissolution de Conti, y compris Silent Ransom Group (SRG), Quantum, et Roy/Zeon. Selon des experts, SRG aurait d’ailleurs intensifié ses efforts depuis deux ans, en se concentrant sur l’établissement d’accès initiaux.

Cependant, Luna Moth fait évoluer son approche. Contrairement aux précédentes campagnes, qui visaient la double extorsion, cette fois-ci, le groupe opte pour le vol de données Leur but ? Exercer un chantage pour leur divulgation.

L’art de la tromperie

Pour piéger leurs victimes, Luna Moth ne lésine pas sur les moyens. Ils enregistrent des noms de domaine qui combinent le nom de l’entreprise ciblée avec le mot « helpdesk ». Ces domaines sont souvent hébergés chez GoDaddy, ce qui leur permet d’envoyer des mails de confirmation qui semblent légitimes.

Mais ce n’est pas tout : le groupe a également profité des infrastructures de support client de GoDaddy pour discuter avec les victimes présumées. En usurpant l’identité d’un service d’assistance informatique, les attaquants manipulent les échanges pour établir la confiance. Ces interactions sont soigneusement conçues pour imiter de véritables communications de support IT, rendant ainsi l’escroquerie encore plus convaincante.

Des outils bien rodés pour contrôler à distance

Pour assurer le contrôle sur les machines de leurs victimes, Luna Moth utilise des outils réputés tels qu’Atera, AnyDesk, Splashtop, SuperOps, Syncro, et Zoho Assist. Ces logiciels permettent un accès à distance, ouvrant la voie à un contrôle total sur les systèmes ciblés.

Une fois la connexion établie, les attaquants utilisent des outils comme WinSCP et Rclone pour exfiltrer discrètement les données. La menace est réelle, et des entreprises doivent se préparer à ces attaques en renforçant encore davantage leur cybersécurité.

Concluons en faveur d’une vigilance accrue

Face à cette résurgence des techniques de phishing, il est crucial que les entreprises prennent des mesures préventives. Sensibilisation, formation, et renforcement des protocoles de sécurité sont plus que jamais nécessaires.

Les cybermenaces évoluent, mais avec une vigilance accrue et des mesures de sécurité en place, nous pouvons aider à réduire le risque d’être piégé par des groupes comme Luna Moth.