Attaque de phishing Luna Moth
Le FBI (Federal Bureau of Investigation) américain a émis une alerte concernant les attaques d'ingénierie sociale lancées par un groupe appelé Luna Moth. Cet extorqueur criminel cible les cabinets d'avocats depuis deux ans, utilisant un mélange d'e-mails d'hameçonnage et d'ingénierie sociale par téléphone pour voler des données sensibles et exiger des paiements.
Table des matières
Comment ils fonctionnent : le manuel de l’hameçonnage par rappel
Luna Moth, également connu sous les noms de Chatty Spider, Silent Ransom Group (SRG), Storm-0252 et UNC3753, est actif depuis au moins 2022. Il s'appuie principalement sur une tactique appelée hameçonnage par rappel ou attaque par téléphone (TOAD). Ses e-mails d'hameçonnage, apparemment inoffensifs et centrés sur des factures et des abonnements, incitent leurs destinataires à appeler un numéro de téléphone pour « annuler » un paiement ou un abonnement.
Lors de ces appels, les attaquants guident la victime vers l'installation d'un programme d'accès à distance, obtenant ainsi un accès non autorisé à ses systèmes. Grâce au contrôle de ces appareils, les pirates collectent des informations sensibles et exécutent des demandes d'extorsion pour empêcher leur fuite ou leur vente à d'autres cybercriminels.
De BazarCall à l’usurpation d’identité informatique
Il s'agit de la même équipe à l'origine des précédentes campagnes BazarCall , qui ont propagé des rançongiciels comme Conti . Depuis la fermeture de Conti, Luna Moth a intensifié ses efforts. Notamment, depuis mars 2025, ils ont fait évoluer leur stratégie en appelant directement les personnes ciblées, se faisant passer pour des employés du service informatique. Cette approche manipule les employés pour qu'ils rejoignent une session d'accès à distance, souvent sous couvert d'effectuer une maintenance de nuit.
Outils du métier : se fondre dans un logiciel légitime
Une fois l'accès accordé, Luna Moth élève les privilèges et utilise des outils légitimes pour exfiltrer les données :
- Rclone
- WinSCP
- Zoho Assist
- Syncro
- AnyDesk
- Splashtop
- Atera
S'agissant d'outils authentiques de gestion de système et d'accès à distance, ils échappent souvent à la détection des outils de sécurité. Si l'appareil compromis ne dispose pas des privilèges d'administrateur, WinSCP Portable est utilisé pour récupérer les données volées. Bien que récente, cette tactique s'est avérée remarquablement efficace, menant à de nombreuses compromissions réussies.
Signes de problèmes : indicateurs d’une attaque de papillon lune
Les agents de cybersécurité doivent être attentifs à certains signaux d’alarme :
- Courriels ou messages vocaux inattendus provenant d'un groupe anonyme prétendant avoir volé des données.
- Courriels concernant les renouvellements d'abonnement qui nécessitent un appel téléphonique pour éviter les frais.
- Appels téléphoniques non sollicités provenant de prétendus membres du personnel informatique vous demandant d'accéder à distance à votre appareil.
- Connexions suspectes effectuées via WinSCP ou Rclone vers des adresses IP externes.
Attaques à haut rythme et usurpation d’identité du service d’assistance
Des études montrent que les campagnes de phishing par rappel « à haute cadence » de Luna Moth ciblent les secteurs juridique et financier aux États-Unis. L'entreprise utilise des plateformes comme Reamaze Helpdesk et d'autres logiciels de bureau à distance. Rien qu'en mars 2025, Luna Moth a enregistré au moins 37 domaines via GoDaddy. La plupart de ces domaines usurpent les services d'assistance informatique et les portails d'assistance des organisations ciblées.
Ces domaines axés sur le support technique commencent généralement par le nom de l'entreprise ciblée. Les attaquants s'appuient sur un petit nombre de bureaux d'enregistrement et de fournisseurs de serveurs de noms, domaincontrol.com étant le plus courant.
Restez vigilants !
Les campagnes de Luna Moth soulignent l'importance cruciale de la vigilance. En combinant des outils fondamentaux à l'ingénierie sociale et à l'usurpation de domaine, ils contournent de nombreuses défenses et mettent en danger des données sensibles. Identifier leurs tactiques est la première étape pour rester protégé.
