« Les dernières informations sur l’état de santé du président », annonce l’objet de l’email. À l’intérieur de ce phishing repéré par Proofpoint se trouve un piège à clics qui tire sur les ficelles de l’exclusif et du secret : « Ce que nous savons vraiment et que nous ne savons pas à propos des problèmes de santé de Trump liés au Covid. Des informations de sources proches sur l’état de santé de Trump, n’oubliez pas s’il vous plaît d’utiliser le code, car le fichier est secret ». L’entreprise a identifié différentes variantes de l’email, qui emploient des formulations similaires.
En dessous de cette introduction mystérieuse, l’auteur du message a placé un lien vers un Google Doc, sobrement indiqué par l’expression « pièce jointe ». Vous l’aurez deviné : le fichier ne contient pas d’information exclusive, d’après le Bleeping Computer, mais bien un cheval de Troie, connu sous le nom de BazarLoader.
Un cheval de Troie capable de déployer des malwares encore plus virulents
L’attaque est bien ficelée, car la victime potentielle n’aura pas forcément le réflexe de s’inquiéter d’un lien Google Doc. Et puis les hackers ont soigné les détails : lorsqu’une cible clique sur le lien malveillant, un message indique que Google a scanné le fichier, et qu’il ne comporte pas de risque. Il invite donc l’utilisateur à télécharger le document, supposément au format Word.
Le fichier contient BazarLoader, un cheval de Troie capable d’installer des portes dérobées pour télécharger des malwares sur l’ordinateur, depuis une autre machine à distance. Il a été développé par le gang TrickBot, connu pour ses alliances avec deux organisations cybercriminels dangereuses : Emotet, et le rançongiciel Ryuk. BazarLoader se répand dans le système informatique de l’organisation victime, puis laisse entrer le rançongiciel, une des pires cyberattaques que peut subir une entreprise, puisqu’elle mène à une paralysie totale ou partielle de son activité.
Hacker, premiers sur l’actu
Une fois de plus, les pirates ont adapté en un rien de temps leurs messages de phishing au sujet le plus suivi du moment. Le président Donald Trump a annoncé être touché par la Covid-19 le 2 octobre, puis a rapidement été hospitalisé. Il est sorti de l’établissement de santé le 6 octobre, et a déjà fait une prise de parole publique, visant à rassurer ses concitoyens.
Encore malade et sous un traitement expérimental, le président américain s’est présenté sans masque, en costume. Certains médias s’interrogent sur sa posture, et sa façon de respirer. Trump va-t-il vraiment mieux comme il l’affirme ou ne fait-il qu’illusion ? Le sujet intrigue, ce qui en fait un appât idéal pour le phishing.
Cette méthode d’attaque, qui consiste à inciter la cible à télécharger un logiciel malveillant, s’appuie sur l’ingénierie sociale, un ensemble de techniques destinées à manipuler la victime. Pour des hackers comme ceux derrière BazarLoader, la partie technique, le cheval de Troie lui-même, n’a pas besoin d’être mise à jour en permanence. En revanche, la partie textuelle doit s’adapter à l’actualité, pour toujours attirer l’intérêt des victimes. En quelques sortes, les hackers doivent avoir la même façon de penser… que les journalistes.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !