Une récente campagne de phishing a été découverte, exploitant une fausse alerte de sécurité Amazon pour inciter les victimes à exécuter une commande PowerShell. Cette commande télécharge un fichier malveillant nommé mysql.exe, qui est en réalité le cheval de Troie HarborWatch Agent RAT. Une fois activé, le logiciel malveillant communique avec un serveur de commande et de contrôle, transmettant des informations depuis l’hôte infecté. La campagne utilise astucieusement des domaines ressemblants et compte sur les utilisateurs pour s’infecter involontairement, contournant ainsi les méthodes de détection traditionnelles basées sur les pièces jointes. Les enquêtes ont retracé l’opération depuis l’adresse de l’expéditeur usurpée jusqu’aux domaines malveillants, au téléchargeur PowerShell, et enfin à la charge utile du malware. L’analyse a révélé que mysql.exe communique avec un serveur à l’adresse IP 185.193.127.44, utilisant des chemins d’API spécifiques. Il est conseillé aux organisations de bloquer ces domaines et IP malveillants, de restreindre l’exécution de PowerShell et d’améliorer les mesures de sécurité des emails pour prévenir l’usurpation de marque. En cas de détection, les systèmes affectés doivent être isolés, le processus malveillant arrêté, et des preuves judiciaires recueillies. Les utilisateurs doivent être informés de cette tactique de phishing, et les défenses mises à jour pour contrer des menaces similaires.
Comment une fausse alerte Amazon délivre-t-elle le cheval de Troie HarborWatch Agent ?
