Le retour en force du "Fake Downloader", le phishing qui exploite votre désir de sécuriser vos devices

20 juillet 2020 à 19h01
0
Exemple d'une page développée par le groupe TA569 (© Proofpoint)

La campagne, qui vous incite à procéder à une fausse mise à jour d'un logiciel, a récemment été repérée par les chercheurs de Proofpoint dans plusieurs pays, dont la France.

La technique n'est pas nouvelle, mais elle reste d'une redoutable efficacité pour les cybercriminels, surtout face à un public toujours plus friand de sécurité informatique. L'équipe de chercheurs du spécialiste américain de la cybersécurité Proofpoint, a révélé il y a quelques jours avoir observé plusieurs campagnes de « Fake Downloader », une pratique qui incite à faussement mettre à jour des applications qui font autorité, comme un moteur de recherche par exemple.

La France parmi les pays les plus touchés

L'idée du Fake Downloader est d'inciter une cible à cliquer sur un lien qui la redirige ensuite vers un site compromis pour télécharger un fichier malveillant, prenant la forme d'une mise à jour logicielle par exemple ou d'un autre fichier inoffensif à télécharger, en réalité vérolé.

La technique de phishing avait un peu disparu de la circulation ces derniers temps, mais à l'instar du logiciel malveillant inséré en pièce jointe d'un mail ou du lien présent dans le corps d'un message pointant vers un malware, elle est toujours active, et a même connu une recrudescence récemment.

Les spécialistes de Proofpoint indiquent avoir identifié, aux mois de juin et juillet, pas moins de 18 000 messages émanant de TA569, un acteur également connu sous le nom de SocGholish. Les utilisateurs ciblés sont majoritairement issus de France, du Canada, d'Allemagne, des États-Unis, d'Espagne, du Royaume-Uni et d'Italie.

Des cybercriminels qui font miroiter aux victimes une mise à jour de leur navigateur

Dans le détail, les campagnes comportaient des liens vers des sites web compromis avec des injections HTML SocGholish, qui utilisent la géolocalisation de la victime, son navigateur et son système d'exploitation. Ensuite, si l'environnement de l'utilisateur répond à certaines conditions, il est ensuite dirigé vers une page de mise à jour du navigateur usurpé, Google Chrome par exemple.

Même si les copies ne sont pas parfaites, les hackers utilisent souvent des pages qui ressemblent grandement en apparence aux pages des navigateurs, toujours dans le but non pas de convaincre des spécialistes mais bien des victimes peu averties aux dangers de la cybercriminalité. En cliquant sur le bouton de mise à jour, l'utilisateur laisse la porte grande ouverte pour télécharger un fichier JavaScript ou HTA.

« Bien que cette technique ne soit pas nouvelle, elle est toujours efficace car elle exploite le désir du destinataire de pratiquer une bonne hygiène de sécurité. Maintenir un logiciel à jour est un conseil de sécurité courant, et cet acteur l'utilise à son avantage », explique Sherrod DeGrippo, Directrice de la détection des menaces chez Proofpoint. Et la spécialiste de poursuivre : « Ces campagnes illustrent le fait que les tactiques des cybercriminels n'ont pas besoin d'être nouvelles pour être efficaces, même dans le paysage actuel des menaces qui évolue rapidement ».

Après tout, c'est dans les vieux pots qu'on fait les meilleures soupes, comme le dit si bien l'expression.

Modifié le 21/07/2020 à 08h54
15
14
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Vignette Crit'air : vers un durcissement des conditions d'obtention
Barbara Pompili, ministre de la transition écologique, qualifie le réacteur EPR de
Face à de très mauvais résultats financiers, EDF s'apprête à se serrer la ceinture
Pollution : un think tank britannique demande à interdire les publicités pour les SUV
Plus de 700 km d'autonomie annoncés pour la Mercedes EQS
Quand Elon Musk affirme que les pyramides ont été érigées par des aliens, l'Égypte l'invite sur place
Depuis 2011, Hadopi c'est 87 000 euros d'amende pour... des dizaines de millions d'euros de subventions !
Projet ATTOL : Airbus fait rouler, décoller et atterrir un avion commercial de façon autonome
Les employés de Blizzard font la lumière sur d'inquiétantes disparités salariales
Donald Trump sanctionné par Twitter et Facebook, pour une vidéo qualifiée de
scroll top