Le retour en force du "Fake Downloader", le phishing qui exploite votre désir de sécuriser vos devices

20 juillet 2020 à 19h01
15
Exemple d'une page développée par le groupe TA569 (© Proofpoint)

La campagne, qui vous incite à procéder à une fausse mise à jour d'un logiciel, a récemment été repérée par les chercheurs de Proofpoint dans plusieurs pays, dont la France.

La technique n'est pas nouvelle, mais elle reste d'une redoutable efficacité pour les cybercriminels, surtout face à un public toujours plus friand de sécurité informatique. L'équipe de chercheurs du spécialiste américain de la cybersécurité Proofpoint, a révélé il y a quelques jours avoir observé plusieurs campagnes de « Fake Downloader », une pratique qui incite à faussement mettre à jour des applications qui font autorité, comme un moteur de recherche par exemple.

La France parmi les pays les plus touchés

L'idée du Fake Downloader est d'inciter une cible à cliquer sur un lien qui la redirige ensuite vers un site compromis pour télécharger un fichier malveillant, prenant la forme d'une mise à jour logicielle par exemple ou d'un autre fichier inoffensif à télécharger, en réalité vérolé.

La technique de phishing avait un peu disparu de la circulation ces derniers temps, mais à l'instar du logiciel malveillant inséré en pièce jointe d'un mail ou du lien présent dans le corps d'un message pointant vers un malware, elle est toujours active, et a même connu une recrudescence récemment.

Les spécialistes de Proofpoint indiquent avoir identifié, aux mois de juin et juillet, pas moins de 18 000 messages émanant de TA569, un acteur également connu sous le nom de SocGholish. Les utilisateurs ciblés sont majoritairement issus de France, du Canada, d'Allemagne, des États-Unis, d'Espagne, du Royaume-Uni et d'Italie.

Des cybercriminels qui font miroiter aux victimes une mise à jour de leur navigateur

Dans le détail, les campagnes comportaient des liens vers des sites web compromis avec des injections HTML SocGholish, qui utilisent la géolocalisation de la victime, son navigateur et son système d'exploitation. Ensuite, si l'environnement de l'utilisateur répond à certaines conditions, il est ensuite dirigé vers une page de mise à jour du navigateur usurpé, Google Chrome par exemple.

Même si les copies ne sont pas parfaites, les hackers utilisent souvent des pages qui ressemblent grandement en apparence aux pages des navigateurs, toujours dans le but non pas de convaincre des spécialistes mais bien des victimes peu averties aux dangers de la cybercriminalité. En cliquant sur le bouton de mise à jour, l'utilisateur laisse la porte grande ouverte pour télécharger un fichier JavaScript ou HTA.

« Bien que cette technique ne soit pas nouvelle, elle est toujours efficace car elle exploite le désir du destinataire de pratiquer une bonne hygiène de sécurité. Maintenir un logiciel à jour est un conseil de sécurité courant, et cet acteur l'utilise à son avantage », explique Sherrod DeGrippo, Directrice de la détection des menaces chez Proofpoint. Et la spécialiste de poursuivre : « Ces campagnes illustrent le fait que les tactiques des cybercriminels n'ont pas besoin d'être nouvelles pour être efficaces, même dans le paysage actuel des menaces qui évolue rapidement ».

Après tout, c'est dans les vieux pots qu'on fait les meilleures soupes, comme le dit si bien l'expression.

Modifié le 21/07/2020 à 08h54
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
15
14
Voir tous les messages sur le forum

Actualités récentes

Apple : 1 milliard d'iPhone activement utilisés à travers le monde et des ventes records en 2020
Reconnaissance faciale : le Conseil de l'Europe demande une
Soldes Amazon : le prix de l'enceinte Ultimate Ears Wonderboom 2 chute pour la 2ème démarque
Tesla dévoile officiellement le rafraîchissement des Model S et X : plus de 1000 ch et jusqu'à 840 km d'autonomie
Reddit s’associe à la Fondation Ethereum pour améliorer son programme « Community Points »
L’APS-C X-E4 et deux nouveaux objectifs débarquent chez Fujifilm
TSMC sommé de se concentrer sur les puces dédiées à l'automobile mais sans oublier AMD ou NVIDIA
Cyberpunk 2077 : le hotfix 1.11 vient corriger le bug introduit dans la quête principale
Soldes d'hiver 2021 : le TOP des promos chez Amazon et Cdiscount (2ème démarque)
Steam aide les éditeurs de jeu à publier plus facilement les notes de mise à jour
Haut de page