Une campagne de piratage a ciblé plusieurs pays d’Europe, dont la France, avec une technique astucieuse : la cible va lancer d’elle-même l’installation du logiciel malveillant sur son ordinateur. Lors d’une conférence présentée le 10 octobre 2024 aux Assises de la cybersécurité à laquelle Numerama a assisté, l’entreprise Vade (désormais branche de Hornet Security) a mis en lumière le mode opératoire des cybercriminels derrière cette campagne.
Comme souvent, tout commence par un courrier électronique frauduleux envoyé à des employés. Le message peut prendre diverses formes, mais il incite généralement à cliquer d’urgence : facture impayée, comptabilité non reçue, etc. Le cybercriminel usurpe l’identité d’un prétendu partenaire et demande à vérifier un document financier.
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Le fichier prend la forme d’un document OneDrive (la solution de stockage dans le cloud de Microsoft). Lorsque la cible clique dessus, un chargement s’enclenche, suivi d’un faux message d’erreur de la messagerie Outlook. Si l’internaute clique sur « comment réparer », un code est automatiquement copié, l’assistant Windows demande ensuite de le coller dans le terminal ordinateur pour mettre à jour le logiciel.
En copiant-collant ce script, la victime lance alors le téléchargement d’un logiciel malveillant nommé DarkGate, et offre un accès aux cybercriminels.
Un groupe de hackers russes suspecté
Des entreprises seraient massivement ciblées, toutefois des particuliers ont également été recensés dans cette campagne. Plusieurs centaines de mails ont été envoyés durant le printemps et en début d’été. Les malfaiteurs ont diversifié leur campagne avec plusieurs narratifs et type de fichiers envoyés.
La présence d’éléments russophones dans le code des programmes malveillants laisse croire que les pirates proviendraient de Russie ou de pays de l’ex-URSS.
« Il est probable que ce groupe de hackers cherche d’abord à obtenir le plus d’accès avant de les revendre aux plus offrants, qui se chargeront ensuite de mener d’autres attaques » nous indique Romain Basset, directeur des services clients de Vade. Une fois l’accès mis en place, des pirates n’auront plus qu’à exfiltrer les données, implanter un ransomware, en somme, semer le chaos.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
