Microsoft a récemment détaillé une vaste campagne de spam qu'il surveillait depuis plusieurs mois. À son apogée, ce réseau envoyait plus d'un million d'e-mails par mois, diffusant sept types de logiciels malveillants différents et visant des victimes dans le monde entier.
Microsoft a suivi cette campagne de mars à décembre 2020, révélant progressivement son "architecture tentaculaire". Grâce à sa taille, elle paraissait légitime aux fournisseurs de messagerie.
Selon le blog Microsoft Security, elle a ciblé de nombreux pays, avec des volumes élevés aux États-Unis, au Royaume-Uni et en Australie. Les e-mails visaient les secteurs de la distribution en gros, des services financiers et de la santé, via divers leurres de phishing et tactiques de spam.
Les premiers signes sont apparus en mars 2020. Microsoft l'a nommée "StrangeU" en raison de l'usage fréquent du mot "étrange" dans les domaines de spam. Un second algorithme, "RandomU", a été découvert plus tard.
Microsoft note que l'essor de cette campagne coïncide avec le démantèlement mondial du botnet Necurs, auquel il a participé. Avant cela, Necurs était l'un des botnets de spam les plus prolifiques, loué à des criminels.
L'infrastructure StrangeU et RandomU comble le vide laissé par Necurs, prouvant l'adaptabilité rapide des attaquants face aux disruptions.
Un enseignement clé : le monde du spam est interconnecté. Les réseaux utilisent des infrastructures payantes, même avec des botnets existants, pour diversifier et résister aux analyses automatisées.
Cette infrastructure a diffusé plusieurs campagnes de malwares sur neuf mois :
Les recherches de Microsoft soulignent l'approche modulaire des attaquants en distribution de malwares, botnets et spam, rendant les disruptions complexes et exigeant une couverture étendue de l'infrastructure.
[]