Historiquement, ce type de campagnes étaient dominées par le groupe TA569 avec SocGolish, dont l’injection menait à l’installation de logiciels malveillants et à des attaques par rançongiciels. Bien qu’il reste un acteur important, la paysage s’étend aujourd’hui avec des imitateurs, rendant le suivi de ces campagnes et l’identification de leur auteur plus complexe. À cet égard, les chercheurs de Proofpoint attestent que TA2726 agit comme un service de distribution de trafic (TDS) pour les groupes TA569 et TA2727.

Les principales conclusions de leurs recherches sont les suivantes :

• Deux nouveaux acteurs identifiés : TA2726 opère comme un service de distribution de trafic (TDS), facilitant la diffusion de logiciels malveillants pour TA569 et TA2727. TA2727 distribue diverses charges utiles de logiciels malveillants, y compris le FrigidStealer récemment découvert.
• Nouveau logiciel malveillant pour Mac : FrigidStealer est un malware ciblant macOS et destiné au vol d’informations. Il est diffusé via des sites web compromis utilisant de fausses propositions de mise à jour. Une méthode qui souligne la tendance croissante du ciblage multiplateforme dans les campagnes d’injection web.

Fig. Leurre de fausse mise à jour distribuant FrigidStealer via Safari (à gauche) et Chrome
• Tactiques évolutives : Ces acteurs utilisent des techniques sophistiquées, notamment le piratage de sites web, la redirection TDS et le filtrage des agents utilisateurs, pour diffuser des charges utiles de logiciels malveillants personnalisées en fonction de la géographie et du système d’exploitation.
• Collaboration : La recherche révèle un jeu complexe de collaboration et de concurrence au sein de l’écosystème d’injection web. Il est donc crucial pour les professionnels de la sécurité de comprendre les relations entre ces acteurs.
• Impact sur les utilisateurs Mac : L’émergence de FrigidStealer souligne le risque croissant pour les utilisateurs de Mac, souvent considérés comme moins vulnérables que les utilisateurs de Windows.

« Nous surveillons en continue divers groupes de menaces d’injection web, dont le nombre ne cesse d’augmenter. Cette menace croissante est probablement due en partie au renforcement des défenses des organisations contre les menaces telles que la diffusion de logiciels malveillants par email et l’exploitation des réseaux de périphériques, obligeant les acteurs à s’adapter, » précisent les chercheurs de Proofpoint. « Cette chaîne d’attaque est particulièrement efficace car elle utilise des techniques d’ingénierie sociale crédibles et personnalisées. D’autant que les organisations accordent souvent moins d’importance à la sécurité des sites et serveurs web, leur gestion étant bien souvent externalisée à des fournisseurs d’hébergement tiers. La formation des utilisateurs reste donc les moyens les plus efficace pour prévenir l’exploitation effective de ces campagnes. »