Des cybercriminels détournent des logiciels de gestion informatique légitimes, pour pirater des entreprises. La campagne, sophistiquée et décortiquée par KnowBe4, transforme des outils professionnels de confiance en véritables chevaux de Troie invisibles.
Comme nous l'apprend en exclusivité KnowBe4, des hackers sont parvenus à perfectionner une technique redoutable qui consiste à voler des identifiants par phishing, puis utiliser ces derniers pour déployer des logiciels de gestion informatique authentiques. Ces outils dits RMM (Remonte Monitoring and Management), très prisés des équipes IT, deviennent alors des portes dérobées indétectables. Elles permettent alors aux pirates de prendre le contrôle total des systèmes.
Du phishing Greenvelope qui ouvre la porte aux outils RMM détournés
L'attaquant commence sa manœuvre avec une banale invitation électronique. Un e-mail signé GreenVelope atterrit dans votre boîte de réception, mimant parfaitement ce service réputé qu'on utilise pour envoyer des faire-part d'événements professionnels ou de mariages. Au premier regard, il n'y a rien de suspect. Lorsque vous cliquez sur le lien, vous découvrez une page de connexion qui semble authentique jusque dans ses moindres pixels.
Sauf que cette page est un leurre minutieusement orchestré. Chaque identifiant tapé au clavier file directement dans les mains des attaquants. Pour eux, c'est le jackpot. Avec vos identifiants, ils peuvent générer des jetons d'accès pour des logiciels RMM. Ces outils sont comme des télécommandes universelles que les équipes IT utilisent pour gérer des parcs informatiques entiers à distance. Avec un RMM, on peut dépanner un ordinateur, installer un logiciel, ou surveiller un réseau.
Une fois armés de ces précieux jetons, les pirates déploient un fichier baptisé « GreenVelopeCard[.]exe ». Le fichier en question porte la signature numérique officielle de GoTo Technologies USA, un éditeur légitime et respecté. Pour les antivirus et pare-feu, c'est comme voir le facteur entrer dans votre hall d'immeuble avec . Personne ne sourcille. Le loup entre dans la bergerie avec la bénédiction involontaire du berger.
Comment les pirates configurent GoTo Resolve en mode fantôme
Ce fichier exécutable cache en son cœur un manuel d'instructions au format JSON. Le fichier contient précisément sept paramètres soigneusement configurés, qui orchestrent toute l'opération. Ils connectent les logiciels RMM GoTo Resolve et LogMeIn au compte pirate, activent un mode fantôme sans aucune fenêtre visible, et établissent des communications directes vers les serveurs de commande situés sur console[.]gotoresolve[.]com.
Ce JSON fonctionne comme une partition musicale pour un concert malveillant. Il dicte à l'application légitime comment s'installer en douce, où se connecter, et surtout comment opérer avec des privilèges complets sans jamais alerter l'utilisateur. L'outil de maintenance devient un espion domestique qui rapporte chaque mouvement aux attaquants. Et le plus pervers dans tout ça, c'est que les systèmes de sécurité voient passer ce trafic sans broncher, puisqu'il transite par l'infrastructure officielle de GoTo.
Mais les pirates ne se contentent pas d'installer leurs outils. Ils verrouillent leur accès en manipulant les entrailles de Windows. En trafiquant le registre système, ils forcent GoTo Resolve à tourner avec les privilèges « SYSTEM », qui est l'équivalent numérique du passe-partout absolu qui ouvre toutes les serrures. Des tâches planifiées cachées assurent la survie du dispositif. En gros, tuez le processus manuellement, il ressuscitera automatiquement dans l'ombre.
Pourquoi les pare-feu ne détectent pas cette nouvelle menace
Les cybercriminels ont mis en place une vraie stratégie de communication. Plutôt que d'établir des serveurs pirates facilement identifiables, les attaquants squattent carrément l'infrastructure de production de GoTo. Leur trafic malveillant nage au milieu des millions de connexions légitimes quotidiennes. C'est comme chercher une aiguille dans une botte de foin, sauf que l'aiguille ressemble exactement au foin.
Ce détournement marque la fin des virus exotiques facilement détectables par leur signature unique. Les nouveaux prédateurs numériques recyclent des outils professionnels généralement irréprochables. Les antivirus traditionnels, qui fonctionnent comme des détecteurs de visages connus, deviennent aveugles face à des logiciels qui ont pignon sur rue depuis des années.
Les spécialistes de KnowBe4 prônent désormais ce qu'ils appelle le « Human Risk Management », l'humain plutôt que les machines. Leur approche se base sur l'analyse en continu des comportements des utilisateurs, pour croiser les données de sécurité avec l'intelligence des menaces et générer des scores de risque individuels. Leur idée est de former chaque employé avec des simulations personnalisées basées sur de vraies attaques comme celle-ci. Parce qu'au final, la meilleure défense reste un utilisateur capable de flairer le piège avant de cliquer.
