Hackers, premiers sur l’actu : un phishing prétend contenir des infos exclusives sur la santé de Trump
« Les dernières informations sur l'état de santé du président », annonce l'objet de l'email.
https://twitter.com/threatinsight/status/1313860463495704578
En dessous de cette introduction mystérieuse, l'auteur du message a placé un lien vers un Google Doc, sobrement indiqué par l'expression « pièce jointe ». Vous l'aurez deviné : le fichier ne contient pas d'information exclusive, d'après le Bleeping Computer, mais bien un cheval de Troie, connu sous le nom de BazarLoader.
Un cheval de Troie capable de déployer des malwares encore plus virulents
L'attaque est bien ficelée, car la victime potentielle n'aura pas forcément le réflexe de s'inquiéter d'un lien Google Doc. Et puis les hackers ont soigné les détails : lorsqu'une cible clique sur le lien malveillant, un message indique que Google a scanné le fichier, et qu'il ne comporte pas de risque. Il invite donc l'utilisateur à télécharger le document, supposément au format Word.
Le fichier contient BazarLoader, un cheval de Troie capable d'installer des portes dérobées pour télécharger des malwares sur l'ordinateur, depuis une autre machine à distance. Il a été développé par le gang TrickBot, connu pour ses alliances avec deux organisations cybercriminels dangereuses : Emotet, et le rançongiciel Ryuk. BazarLoader se répand dans le système informatique de l'organisation victime, puis laisse entrer le rançongiciel, une des pires cyberattaques que peut subir une entreprise, puisqu'elle mène à une paralysie totale ou partielle de son activité.
Hacker, premiers sur l'actu
Une fois de plus, les pirates ont adapté en un rien de temps leurs messages de phishing au sujet le plus suivi du moment. Le président Donald Trump a annoncé être touché par la Covid-19 le 2 octobre, puis a rapidement été hospitalisé. Il est sorti de l'établissement de santé le 6 octobre, et a déjà fait une prise de parole publique, visant à rassurer ses concitoyens.
Encore malade et sous un traitement expérimental, le président américain s'est présenté sans masque, en costume. Certains médias s'interrogent sur sa posture, et sa façon de respirer. Trump va-t-il vraiment mieux comme il l'affirme ou ne fait-il qu'illusion ? Le sujet intrigue, ce qui en fait un appât idéal pour le phishing.
Cette méthode d'attaque, qui consiste à inciter la cible à télécharger un logiciel malveillant, s'appuie sur l'ingénierie sociale, un ensemble de techniques destinées à manipuler la victime. Pour des hackers comme ceux derrière BazarLoader, la partie technique, le cheval de Troie lui-même, n'a pas besoin d'être mise à jour en permanence. En revanche, la partie textuelle doit s'adapter à l'actualité, pour toujours attirer l'intérêt des victimes. En quelques sortes, les hackers doivent avoir la même façon de penser... que les journalistes.