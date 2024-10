Lecture Zen Résumer l'article

Des pirates ont développé un faux assistant Windows qui invite leur cible à copier-coller un script malveillant directement dans le terminal de l’ordinateur. La victime va alors lancer le téléchargement d’un malware.

Une campagne de piratage a ciblé plusieurs pays d’Europe, dont la France, avec une technique astucieuse : la cible va lancer d’elle-même l’installation du logiciel malveillant sur son ordinateur. Lors d’une conférence présentée le 10 octobre 2024 aux Assises de la cybersécurité à laquelle Numerama a assisté, l’entreprise Vade (désormais branche de Hornet Security) a mis en lumière le mode opératoire des cybercriminels derrière cette campagne.

Comme souvent, tout commence par un courrier électronique frauduleux envoyé à des employés. Le message peut prendre diverses formes, mais il incite généralement à cliquer d’urgence : facture impayée, comptabilité non reçue, etc. Le cybercriminel usurpe l’identité d’un prétendu partenaire et demande à vérifier un document financier.

Le fichier prend la forme d’un document OneDrive (la solution de stockage dans le cloud de Microsoft). Lorsque la cible clique dessus, un chargement s’enclenche, suivi d’un faux message d’erreur de la messagerie Outlook. Si l’internaute clique sur « comment réparer », un code est automatiquement copié, l’assistant Windows demande ensuite de le coller dans le terminal ordinateur pour mettre à jour le logiciel.

Un exemple de mail et faux assistant Windows développé par les cybercriminels. // Source : Vade

En copiant-collant ce script, la victime lance alors le téléchargement d’un logiciel malveillant nommé DarkGate, et offre un accès aux cybercriminels.

Un groupe de hackers russes suspecté

Des entreprises seraient massivement ciblées, toutefois des particuliers ont également été recensés dans cette campagne. Plusieurs centaines de mails ont été envoyés durant le printemps et en début d’été. Les malfaiteurs ont diversifié leur campagne avec plusieurs narratifs et type de fichiers envoyés.

La présence d’éléments russophones dans le code des programmes malveillants laisse croire que les pirates proviendraient de Russie ou de pays de l’ex-URSS.

« Il est probable que ce groupe de hackers cherche d’abord à obtenir le plus d’accès avant de les revendre aux plus offrants, qui se chargeront ensuite de mener d’autres attaques » nous indique Romain Basset, directeur des services clients de Vade. Une fois l’accès mis en place, des pirates n’auront plus qu’à exfiltrer les données, implanter un ransomware, en somme, semer le chaos.

