Un gang de cybercriminels a abusé de l’application Quick Assist de Microsoft dans des attaques d’ingénierie sociale qui permettent finalement à l’équipe d’infecter les victimes avec le ransomware Black Basta.
Ceci, selon Redmond, qui a déclaré que la campagne était en cours depuis la mi-avril et a imputé les intrusions à un groupe à motivation financière qu’il suit sous le nom de Storm-1811.
Microsoft n’a pas immédiatement répondu à Le registrequestions sur l’attaque, y compris combien de clients ont été touchés. Nous mettrons à jour cette histoire lorsque nous recevrons une réponse.
Quick Assist est un outil logiciel installé par défaut dans Windows 11 qui permet à quelqu’un de partager son PC ou son appareil macOS avec un utilisateur distant, généralement dans l’informatique d’entreprise, qui peut ensuite contrôler l’ordinateur à distance. Cela permet également aux fraudeurs, se faisant passer pour un support technique, de tromper les gens pour qu’ils leur donnent un accès complet à l’appareil ciblé.
“Microsoft étudie l’utilisation de Quick Assist dans ces attaques et travaille à améliorer la transparence et la confiance entre les assistants et les partageurs, et à intégrer des messages d’avertissement dans Quick Assist pour alerter les utilisateurs d’éventuelles escroqueries au support technique”, a déclaré le géant de Windows. dit dans une alerte de mercredi.
De plus, les organisations peuvent bloquer ou désinstaller Quick Assist et d’autres outils de gestion à distance s’ils ne les utilisent pas, ce qui contribuera à réduire le risque de ce type d’attaques d’ingénierie sociale, a conseillé Microsoft.
De plus, il existe toute une liste d’indicateurs de compromission et de requêtes de chasse aux menaces que les clients Microsoft peuvent utiliser pour rechercher des activités malveillantes sur leurs réseaux, telles qu’un comportement suspect de curl ou une éventuelle utilisation malveillante d’un proxy ou d’un outil de tunneling.
Les cambriolages commencent lorsque Storm-1811 se fait passer pour le support informatique via un phishing vocal et convainc l’utilisateur de lui donner accès à l’ordinateur via Quick Assist. Dans certains cas, les utilisateurs sont bombardés de spams, puis contactés pour leur demander s’ils souhaitent obtenir de l’aide pour résoudre le problème.
L’accès est accordé via un raccourci clavier et un code de sécurité fourni par l’attaquant. Une fois que la cible a saisi le code de sécurité, elle peut alors partager son écran avec l’attaquant, qui peut sélectionner « Demander le contrôle ». Si la cible approuve cette demande, le fraudeur a désormais le contrôle total de l’appareil.
Après que ce pwnage Storm-1811 se soit mis au travail en fournissant des charges utiles malveillantes et des logiciels de surveillance et de gestion à distance (RMM), nous dit-on.
“Dans plusieurs cas, Microsoft Threat Intelligence a identifié une telle activité conduisant au téléchargement de Qakbot, d’outils RMM comme ScreenConnect et NetSupport Manager, et Cobalt Strike”, a noté l’équipe de renseignement sur les menaces.
Cet accès persistant à l’appareil compromis permet aux attaquants de se déplacer latéralement dans l’environnement de la victime. “Storm-1811 utilise ensuite PsExec pour déployer le ransomware Black Basta sur l’ensemble du réseau”, selon Microsoft. ®
2024-05-17 02:30:00
1715907811
#Des #criminels #abusent #Microsoft #Quick #Assist #pour #déployer #ransomware #Black #Basta #Register
.jpg?fit=300%2C300&ssl=1)
