De quoi ruiner le rêve de certains. Une multitude de faux comptes de femmes en tenues sensuelles sur Facebook ont été créés pour voler des identifiants, révèle une recherche de la société de sécurité cloud Zscaler, publiée le 20 janvier 2023. Ces profils contactent leurs victimes sur Facebook en leur proposant de consulter un fichier contenant des photos sexy. Une fois téléchargé, l’album en question contient bien les clichés promis, mais aussi un logiciel malveillant pour dérober identifiants et mots de passe. Généralement, les pirates proposent un dossier à récupérer sur un compte OneDrive de Microsoft ou depuis un lien frauduleux.
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Le malware dont il est ici question est un info stealer, programmé pour fouiller dans les dossiers et récupérer des fichiers spécifiques : cookies, données d’identification.
Pour cela, le logiciel se concentre sur les navigateurs tels que Chrome, Firefox, Microsoft Edge ou Brave. « Album Stealer » — le nom donné au malware par Zscaler — cible les fichiers Local State, Login Data et Cookies. L’emplacement Local State contient des clés nécessaires pour déchiffrer les données du navigateur web. Le programme commence par lire le fichier et récupère les paramètres nécessaires pour aller plus loin dans l’infection. Des fonctions de ciblage de fichiers permettent de trouver rapidement les données intéressantes et de les exfiltrer sur des serveurs externes. Tout ce processus se réalise discrètement à l’insu de la victime.
Des campagnes de phishing venues du Viêt Nam
Les pirates derrière cette campagne seraient vietnamiens, si l’on en croit les indices repérés par Zscaler. Par exemple, une requête vers un serveur a reçu une réponse en vietnamien : « Mise à jour du statut réussie ».
Cette campagne ressemble sensiblement à une autre opération de phishing nommée « Ducktail » et menée par des pirates vietnamiens. En août, des employés d’entreprises s’étaient fait piéger depuis des liens envoyés sur Facebook et WhatsApp. Les malfaiteurs cherchaient à voler les identifiants de comptes légitimes Facebook Ads pour les transformer en page d’arnaque. WithSecure, l’entreprise à l’origine de la recherche, avait estimé que les pertes pour les sociétés victimes pouvaient monter à 600 000 euros.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !