Pourquoi prendre le risque de voler des personnes quand on peut voler les voleurs ? C’est le principe qu’a suivi un groupe de hackers, vraisemblablement vietnamien, analysé par Cybereason Noctornus le 9 mars 2020.
Ces hackers infectent des logiciels de hacking avec un puissant cheval de Troie et les mettent à disposition gratuitement sur des forums. Ils s’offrent ainsi un accès au système des hackers, mais aussi à celui de leurs victimes. « On dirait qu’une personne, ou un groupe de personnes, réalise un raccourci plutôt malin pour accéder à plus de systèmes », évalue Amit Serper, vice-président de Cybereason, interrogé par Zdnet.
Oh non un hacker ! Oh non un hacker !
Manger les poissons sans pêcher
Les outils infectés fonctionnent, et peuvent servir à scanner les défenses d’une entreprise, à voler ses données ou encore à lancer des attaques de brute-force (par exemple, grâce à un logiciel qui va tester tout un éventail de mots de passe pour accéder à un compte). Une autre catégorie d’outil s’adresse plutôt à des hackers du dimanche qui veulent par exemple générer des clés produit pour accéder gratuitement à des logiciels payants.
Problème : tous ces outils installent également une porte dérobée que peuvent activer les hackers pour prendre contrôle du système du hacker victime. Cette manipulation ouvre non seulement un accès à l’ordinateur du hacker, mais aussi à tous les sites sur lesquels il a utilisé l’outil. Concrètement, les premiers laissent les seconds faire le sale boulot, puis leur dérobent les données.
Les outils infectés peuvent être utilisés par des opérateurs malveillants, mais aussi des chercheurs en cybersécurité en charge d’effectuer des tests d’intrusion officiels.
Un puissant cheval de Troie multiplié quotidiennement
Les hackers utilisent njRat, un cheval de Troie connu depuis plus de sept ans. Très puissant, il donne à l’assaillant un accès complet à l’ordinateur de sa cible. Il peut accéder aux fichiers, aux mots de passe et même, dans certains cas, aux microphones et aux webcams. Le plus souvent, les opérateurs utilisent des emails de phishing ou des appareils de stockages contaminés pour le répandre. Mais en l’intégrant à des logiciels, ils passent sous certains radars antivirus.
Cette campagne de hacking tourne depuis plusieurs années et a infecté des centaines de sites et d’outils. D’après Amit Serper, chercheur de Cybereason interrogé par Techcrunch, l’injection de njRat dans les logiciels est quotidien et peut être automatisée. L’attaque se déploie largement et sans intervention humaine.
Si cet usage du njRat est nouveau, la pratique d’entre-hacking est bien connue. Par exemple, il existe des outils pour lancer des campagnes de phishing qui envoient une copie des données volées au créateur de l’outil.
Découvrez les bonus
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Il y a une bonne raison de ne pas s'abonner à
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : faire comprendre le numérique et tous ses enjeux au plus grand nombre.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
