Mimecast Logo
Scan de M365 Obtenir un devis

    Voleur d'informations Braodo

    14 oct. 2024

    Points clés

    Ce que vous apprendrez dans cet article

    • Cible les secteurs des médias, de l’image de marque, du marketing et de la publicité numérique aux États-Unis et au Royaume-Uni.
    • Très ciblé avec environ 100 messages par mois.
    • L'objectif principal est de diffuser des malwares afin d'obtenir des informations d'identification pour GitHub, Amazon AWS et d'autres plateformes.

    Samantha Clarke et l'équipe de recherche sur les menaces de Mimecast ont surveillé et enquêté sur une campagne de phishing sophistiquée ciblant les organisations de marketing. La nouvelle campagne montre des acteurs malveillants se faisant passer pour une marque bien connue, dans le but d'inciter les victimes à télécharger des fichiers malveillants depuis Dropbox. Ces fichiers malveillants cherchent finalement à diffuser du malware sous la forme de voleur Braodo.

    Diffusé via des e-mails de phishing et de spear-phishing, le malware utilise GitHub et un serveur VPS basé à Singapour pour héberger et distribuer son code. Développé par des acteurs malveillants basés au Vietnam, Braodo Stealer exfiltre les données de son navigateur Internet via des bots Telegram. Les informations volées incluent des identifiants de plateformes financières, ainsi que des comptes de GitHub, Amazon AWS et d'autres plateformes.

    L'analyse de Cyfirma montre que le malware est obscurci à plusieurs reprises et qu'il utilise des scripts batch, PowerShell, des exécutables (exe), HTA et des fichiers PDF pour se propager. Plusieurs dépôts GitHub sont utilisés pour héberger le code malveillant, tandis que plusieurs robots Telegram sont utilisés pour l'exfiltration des données. Il fonctionne furtivement en arrière-plan, collectant et archivant des données, qui sont ensuite envoyées à des robots Telegram. Les détails complets des capacités du malware peuvent être lus dans la recherche sur les menaces de Cyfirma.

    Protection Mimecast

    Nous avons identifié plusieurs attributs dans les campagnes qui ont été ajoutés à nos capacités de détection.

    Ciblage

    États-Unis et Royaume-Uni, principalement les secteurs des médias, de l'image de marque, du marketing et de la publicité numérique.

    CIO

    Domaines d'expéditeurs :

    • ads-hogan[.]com
    • hoganhr[.]com
    • hrhogan[.]com
    • mkt-hogan[.]com
    • partner-hogan[.]com
    • usa-hogan[.]com

    Recommandations

    • Assurez-vous d'avoir une politique Attachment Protect définie pour protéger l'organisation.
    • Recherchez dans les journaux de réception des e-mails si l'un des domaines d'envoi a été remis à vos utilisateurs.
    • Informez les utilisateurs finaux de la tendance continue à l’utilisation d’outils légitimes dans des campagnes malveillantes.

    Découvrez les articles de renseignement sur les menaces

    12BLOG_1.jpg
    Threat Intelligence Blog
    Threat Intelligence: Tracking Top Threats from Cybercriminals in 2024 
    mars 05, 2025
    33BLOG_1.jpg
    Threat Intelligence Blog
    Comment garder une longueur d’avance sur les cybermenaces : Rapport mondial sur les menaces du second semestre 2024 de Mimecast
    févr. 13, 2025
    16BLOG_1.jpg
    Threat Intelligence Blog
    Collaboration Security: Managing the Risks of Modern Platforms  
    janv. 08, 2025
    Haut de la page