© ymphotos / Shutterstock
© ymphotos / Shutterstock

Les pirates distribuent plusieurs familles de logiciels malveillants à l’aide de faux sites Web Skype, Zoom et Google Meet.

Depuis décembre 2023, une nouvelle menace émerge, exploitant la popularité des logiciels de visioconférence pour diffuser des logiciels malveillants difficilement détectables même avec un bon antivirus. Les utilisateurs d'Android et de Windows sont les principales cibles, tandis que les utilisateurs d'iOS semblent être épargnés pour le moment.

Devenus populaires pendant la pandémie de COVID-19, les logiciels de visioconférence tels que Google Meet, Skype et Zoom sont devenus des outils essentiels pour la communication, qu'ils soient d'un usage familial ou professionnel. Mais ces plateformes sont aussi devenues le nouveau terrain de jeu des hackers qui cherchent à exploiter leur popularité pour diffuser des malwares. Leur outil favori ? Des chevaux de Troie d'accès à distance (RAT ou Remote Administration Tool).

L'exploitation des logiciels de visioconférence

Dans leur rapport, les chercheurs de Zscaler ThreatLabz ont révélé que les acteurs malveillants distribuent des chevaux de Troie d'accès à distance (RAT), notamment SpyNote RAT pour les plateformes Android, ainsi que NjRAT et DCRat pour les systèmes Windows. Ces faux sites Web sont en russe et sont hébergés sur des domaines qui ressemblent beaucoup à leurs homologues légitimes, ce qui indique que les attaquants utilisent des astuces de typosquatting pour inciter les victimes potentielles à télécharger le logiciel malveillant.

Un Skype aussi vrai que nature © urlscan.io / zscaler
Un Skype aussi vrai que nature © urlscan.io / zscaler

Une fois que les victimes ont téléchargé le malware, les acteurs malveillants peuvent se faire plaisir et voler des données personnelles, enregistrer des frappes au clavier et rafler des fichiers. Actuellement, il n'existe aucune preuve que l'acteur malveillant cible les utilisateurs iOS, étant donné que cliquer sur le bouton de l'application iOS amène l'utilisateur à la liste légitime de l'App Store d'Apple pour Skype.

Émergence conjointe d'un nouveau malware et d'une campagne de phishing

Parallèlement à ces attaques, l'AhnLab Security Intelligence Center (ASEC) a révélé qu'un nouveau malware baptisé WogRAT ciblant à la fois Windows et Linux exploite une plateforme de bloc-notes en ligne gratuite appelée aNotepad comme vecteur secret pour héberger et récupérer du code malveillant. Il serait actif depuis au moins fin 2022, ciblant des pays asiatiques comme la Chine, Hong Kong, le Japon et Singapour, entre autres.

Ce malware utilise aussi Google Meet © Google

Enfin, ces développements coïncident avec des campagnes de phishing à grand volume orchestrées par un cybercriminel motivé par des raisons financières, connu sous le nom de TA4903. L’adversaire est actif depuis au moins 2019, et ses activités s’intensifient après mi 2023. TA4903 mène régulièrement des campagnes visant à usurper diverses entités gouvernementales américaines afin de voler les informations d'identification des entreprises.

A découvrir
Quels sont les meilleurs logiciels de visioconférence gratuits ? Comparatif 2024

05 octobre 2024 à 22h36

Comparatifs services

Sources : The Hacker News, Zscaler, ASEC, Proofpoint