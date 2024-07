Lecture Zen Résumer l'article

Un groupe de pirates chinois a développé des applications clones de services bancaires ou de plateformes de crypto-monnaies. Elles sont capables de récupérer les images de reconnaissance faciale.

Un groupe de hackers chinois a trouvé une technique pour récupérer des données de reconnaissance faciale. Le rapport mi-annuel des menaces cyber, rédigé par la société ESET et publié le 1er juillet, analyse une campagne de vol de données en Asie et en Amérique latine, menée durant l’hiver 2023 et le printemps 2024.

Un logiciel malveillant, baptisé GoldPickaxe (Pioche d’or), a d’abord été repéré par la société Group-IB. Il cible les détenteurs de portefeuilles de crypto-monnaies ainsi que les clients de services financiers en Asie.

De nombreuses applications bancaires ou d’échanges de crypto-monnaies demandent aujourd’hui de certifier l’identité de l’utilisateur en prenant des photos ou une vidéo de son visage.

Les cybercriminels vont copier ce procédé avec un long cheminement qui part le plus souvent d’un message et qui se termine par un vol de données sensibles.

Une fausse application de reconnaissance faciale

Le groupe de pirates, nommé GoldFactory (Usine d’or) va d’abord une campagne de phishing afin que la victime installe une copie de Google Play ou d’une application bancaire légitime. En fonction de la victime, de sa localisation ou de ses usages, ils tenteront ensuite de la convaincre de procéder à une reconnaissance faciale.

Les experts en cybersécurité ont remarqué que les cybercriminels avaient monté leur propre centre d’appel chargé de répondre aux cibles. Les malfaiteurs se faisaient passer pour des banques ou des sociétés de crypto-monnaies et indiquaient à leur interlocuteur qu’il devait prendre des photos et enregistrer son visage avec la caméra de son smartphone.

La fausse application bancaire demande à l’utilisateur de prendre en photo son visage. // Source : Group-IB

La fausse appli opérait ensuite une capture du visage de la victime, lui donnant les mêmes instructions qu’une plateforme officielle : tourner la tête à gauche, à droite, incliner vers le bas, vers le haut etc.

Dans certains cas, les pirates pouvaient directement infiltrer une application bancaire et pouvaient récupérer les portraits pris par la personne piégée.

Les images étaient alors stockées sur les serveurs des cybercriminels et réutilisés pour se connecter aux comptes bancaires ou aux portefeuilles de crypto-monnaies.

Group-IB note que ce groupe de hackers possède « des processus bien définis, une maturité opérationnelle et démontre un niveau accru d’ingéniosité. Leur capacité à développer et distribuer simultanément des variantes de logiciels malveillants adaptées à différentes régions montre un niveau de sophistication inquiétant. »

Leur campagne n’a pas atteint l’Europe, pour l’instant, mais commence déjà à s’implanter au Mexique et en Afrique du Sud.

