Les pirates distribuent plusieurs familles de logiciels malveillants à l’aide de faux sites Web Skype, Zoom et Google Meet.
Depuis décembre 2023, une nouvelle menace émerge, exploitant la popularité des logiciels de visioconférence pour diffuser des logiciels malveillants difficilement détectables même avec un bon antivirus. Les utilisateurs d'Android et de Windows sont les principales cibles, tandis que les utilisateurs d'iOS semblent être épargnés pour le moment.
Devenus populaires pendant la pandémie de COVID-19, les logiciels de visioconférence tels que Google Meet, Skype et Zoom sont devenus des outils essentiels pour la communication, qu'ils soient d'un usage familial ou professionnel. Mais ces plateformes sont aussi devenues le nouveau terrain de jeu des hackers qui cherchent à exploiter leur popularité pour diffuser des malwares. Leur outil favori ? Des chevaux de Troie d'accès à distance (RAT ou Remote Administration Tool).
L'exploitation des logiciels de visioconférence
Dans leur rapport, les chercheurs de Zscaler ThreatLabz ont révélé que les acteurs malveillants distribuent des chevaux de Troie d'accès à distance (RAT), notamment SpyNote RAT pour les plateformes Android, ainsi que NjRAT et DCRat pour les systèmes Windows. Ces faux sites Web sont en russe et sont hébergés sur des domaines qui ressemblent beaucoup à leurs homologues légitimes, ce qui indique que les attaquants utilisent des astuces de typosquatting pour inciter les victimes potentielles à télécharger le logiciel malveillant.
Une fois que les victimes ont téléchargé le malware, les acteurs malveillants peuvent se faire plaisir et voler des données personnelles, enregistrer des frappes au clavier et rafler des fichiers. Actuellement, il n'existe aucune preuve que l'acteur malveillant cible les utilisateurs iOS, étant donné que cliquer sur le bouton de l'application iOS amène l'utilisateur à la liste légitime de l'App Store d'Apple pour Skype.
Émergence conjointe d'un nouveau malware et d'une campagne de phishing
Parallèlement à ces attaques, l'AhnLab Security Intelligence Center (ASEC) a révélé qu'un nouveau malware baptisé WogRAT ciblant à la fois Windows et Linux exploite une plateforme de bloc-notes en ligne gratuite appelée aNotepad comme vecteur secret pour héberger et récupérer du code malveillant. Il serait actif depuis au moins fin 2022, ciblant des pays asiatiques comme la Chine, Hong Kong, le Japon et Singapour, entre autres.
Enfin, ces développements coïncident avec des campagnes de phishing à grand volume orchestrées par un cybercriminel motivé par des raisons financières, connu sous le nom de TA4903. L’adversaire est actif depuis au moins 2019, et ses activités s’intensifient après mi 2023. TA4903 mène régulièrement des campagnes visant à usurper diverses entités gouvernementales américaines afin de voler les informations d'identification des entreprises.
Sources : The Hacker News, Zscaler, ASEC, Proofpoint
Ex-journaliste société, l'univers du web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet m'ouvre l'appétit. De la dernière trend TikTok au reels le plus liké, je suis issue de la génération Facebook que la guerre intestine entre Mac et PC passionne encore. En daronne avisée, Internet, ses outils, pratiques et régulation font partie de mes loisirs favoris (ça, le lineart, le tricot et les blagues pourries). Ma devise: l'essayer, c'est l'adopter, mais en toute sécurité.
Lire d'autres articles
