Une campagne d'hameçonnage de Cobalt Group ciblant les institutions financières a été identifiée

Cobalt Group (alias TEMP.Metastrike), actif depuis fin 2016, est soupçonné de mener une attaque impactant une dizaine de pays. Le groupe cible principalement les organisations financières, souvent en infectant avec un logiciel malveillant des GAB. En l'occurrence, les chercheurs pensent que le groupe est responsable d’une série d’attaques ciblant le système bancaire SWIFT. Elles auraient coûté des millions de dollars de dommages et intérêts aux victimes.

Les campagnes récentes usurpent des noms de domaines d'institutions financières ou de partenaires travaillant avec la victime. Les courriels d'hameçonnage contiennent, en effet, deux URL malveillantes. La première redirige vers un document Word corrompu contenant des scripts VBA obscurci. La seconde redirige vers un fichier binaire disposant d'une extension JPG.

Bien que les vulnérabilités utilisées dans le cadre de cette campagne soient connues, le logiciel malveillant masque ses activités en utilisant des noms de processus système légitimes. Par ailleurs, les fichiers binaires analysés faisaient appel à deux serveurs C&C uniques détenus et exploités par le groupe de piratage Cobalt.

Il est recommandé de former les employés à la détection des e-mails d'hameçonnage et, dans la mesure du possible, inspecter de près les noms de domaines familiers pouvant renvoyer à des pièces jointes ou des sites malveillants.