Des diplomates de l'UE sont la cible d'une attaque sophistiquée où des cyberattaquants exploitent la passion européenne pour le vin. Une fausse invitation à une dégustation de vin est utilisée comme appât pour diffuser un logiciel malveillant inédit.
Les Européens, réputés pour leur amour du vin, se retrouvent au cœur d'une récente cyberattaque élaborée. Des chercheurs du ThreatLabz de Zscaler ont mis en lumière une campagne orchestrée par « SpikedWine », visant spécifiquement les diplomates de l'Union européenne en mission diplomatique en Inde. La tactique utilise une fausse invitation à une dégustation de vin, envoyée sous la forme d'un fichier PDF censé provenir de l'ambassadeur indien. Derrière cette invitation se cache une porte dérobée sophistiquée nommée « WineLoader ».
La tactique de l'appât du vin
L'attaque commence par une illusion bien ficelée, avec un faux PDF d'invitation à une dégustation de vin, prétendument de l'ambassadeur indien. SpikedWine joue habilement sur les relations diplomatiques et la passion européenne pour le vin en créant un contenu trompeur. Les destinataires, principalement des fonctionnaires de l'UE en poste en Inde, sont incités à cliquer sur un lien malveillant, amorçant ainsi le téléchargement d'une porte dérobée sophistiquée nommée WineLoader, difficilement détectable sauf peut-être par un excellent antivirus.
Les chercheurs de Zscaler ThreatLab ont identifié une série complexe d'étapes dans l'attaque, révélant la méthodologie raffinée de SpikedWine. Le fichier PDF trompeur, téléchargé depuis la Lettonie, dévoile une planification minutieuse. Les cyberattaquants utilisent un faux questionnaire pour inciter les victimes à visiter un site compromis, déclenchant ainsi le téléchargement de l'archive zip contenant le redoutable wine.hta.
WineLoader : un logiciel malveillant sophistiqué
La révélation du logiciel malveillant WineLoader expose une ingénierie de haut niveau. Doté de modules modulaires et de tactiques évasives, il démontre une volonté délibérée d'échapper à la détection. Les chercheurs soulignent les techniques avancées (telles que le recryptage et la mise à zéro des tampons de mémoire) utilisées pour contourner les solutions de sécurité. SpikedWine démontre non seulement une créativité élaborée dans la campagne d'ingénierie sociale, mais également une sophistication technique, illustrant les défis croissants de la cybersécurité.
Zscaler ThreatLabz a informé les autorités indiennes de l'utilisation abusive de thèmes gouvernementaux dans l'attaque, soulignant l'importance de la coopération internationale. Les chercheurs mettent en garde contre la complexité du serveur C2 utilisé, nécessitant une approche multicouche pour détecter les IoC liés à WineLoader. La liste d'indicateurs de compromission fournie offre un guide essentiel pour les défenseurs dans la lutte contre cette menace sophistiquée. On dit que l'abus d'alcool est dangereux pour la santé. Vrai. Y compris pour celle de vos données personnelles.
Source : DarkReading, Zscaler blog