Dans un rapport, CloudSEK détaille une campagne de phishing par e-mail qui cible des créateurs sur YouTube. Elle s’appuie sur de fausses offres de collaboration avec des marques et la promesse de partenariats lucratifs.
L’e-mail de phishing comprend des instructions et un lien vers une plateforme comme OneDrive pour l’accès à une archive sécurisée par mot de passe, contenant un prétendu accord et des documents promotionnels.
Une charge utile malveillante est intégrée dans plusieurs fichiers compressés. CloudSEK souligne ainsi une tactique utilisée pour échapper à la détection des filtres de sécurité et des solutions antivirus.
Pour un malware de type infostealer
Après téléchargement et extraction, le fichier déploie un script malveillant pour l’exécution d’un malware sur l’appareil de la victime. Ce dernier semble appartenir à la famille Lumma Stealer que Qualys présente comme un infostealer disponible en tant que service (Malware as a Service).
Le nuisible est capable de dérober des données comme les identifiants de navigateur, les cookies de session ou encore le contenu du presse-papiers. Les données exfiltrées sont transmises à un serveur de commande et de contrôle.
Selon CloudSEK, la campagne mondiale de phishing s’appuie sur une infrastructure robuste avec plus de 340 serveurs SMTP, plus de 26 proxys SOCKS5 pour dissimuler le trafic et plus de 46 Remote Desktop Protocols. Chaque serveur SMTP serait responsable de l’envoi de 500 à 1 000 e-mails de spam à partir d’une seule adresse e-mail.