Méfiez-vous d'Unfurling Hemlock, ce gang de hackers qui noie vos systèmes de malwares

Mélina LOUPIA
Publié le 30 juin 2024 à 12h31
Le malware diffusé par Unfurling Hemlock produit l'effet d'une bombe sur vos machines © Razvan Ionut Dragomirescu / Shutterstock
Le malware diffusé par Unfurling Hemlock produit l'effet d'une bombe sur vos machines © Razvan Ionut Dragomirescu / Shutterstock

Ils se font appeler Unfurling Hemlock et sèment la panique sur nos ordinateurs. Ces cyberterroristes inondent les systèmes de multiples malwares en une seule attaque. Cette « bombe à fragmentation » numérique menace entreprises et particuliers depuis début 2023.

Le moins que l'on puisse dire du gang dénommé Unfurling Hemlock, c'est qu'il n'est pas un lapin de six semaines, mais un beau lièvre d'un an et demi. Depuis février 2023, ce groupe de hackers a mis au point une technique redoutable pour infecter ses victimes. Au lieu de se contenter d'un seul malware, ceux-ci en déploient jusqu'à 10 simultanément sur les systèmes ciblés. Cette méthode, que l'on peut qualifier de « bombe à fragmentation », permet aux pirates de maximiser leurs chances de réussite et leurs profits.

Les chercheurs de KrakenLabs, et plus précisément l'équipe Cyber Threat Intelligence d'Outpost24, ont découvert plus de 50 000 fichiers malveillants liés à cette campagne. Les États-Unis en sont la cible principale, suivis par l'Allemagne et la Russie. Voleurs de données, botnets, portes dérobées… Unfurling Hemlock utilise un véritable arsenal pour s'infiltrer dans les systèmes et y semer le chaos. Cette bombe sera-t-elle bientôt larguée sur nos machines ?

Une bombe à fragmentation qui pulvérise vos défenses

Les experts en cybersécurité n'ont pas choisi ce terme au hasard. La technique d'Unfurling Hemlock rappelle en effet le fonctionnement d'une bombe à fragmentation militaire. Tout commence par l'exécution d'un fichier baptisé « WEXTRACT.EXE », généralement reçu par e-mail ou téléchargé à partir d'un site compromis. Ce premier fichier est en réalité un cheval de Troie, qui contient plusieurs niveaux de fichiers compressés et imbriqués.

Chaque niveau renferme deux éléments : un échantillon de malware et un autre fichier compressé. Lorsque le processus de décompression atteint sa phase finale, les fichiers extraits sont exécutés dans l'ordre inverse. Résultat : la machine de la victime se retrouve submergée par une vague de logiciels malveillants en quelques secondes.

Cette approche offre plusieurs avantages aux pirates. D'abord, elle augmente considérablement leurs chances de succès. Si un malware est détecté et bloqué, d'autres peuvent passer entre les mailles du filet. Ensuite, elle leur permet de diversifier leurs attaques et leurs sources de revenus. Certains malwares volent des données, d'autres installent des portes dérobées ou transforment l'ordinateur en machine zombie pour qu'il rejoigne un botnet.

Le malware d'Unfurling Hemlock est dévastateur pour vos données et votre machine © Pungu x / Shutterstock
Le malware d'Unfurling Hemlock est dévastateur pour vos données et votre machine © Pungu x / Shutterstock

Parmi les outils préférés d'Unfurling Hemlock, on en trouve certains dont Clubic vous a déjà parlé, comme :

  • RedLine : un voleur de données qui cible les informations sensibles (identifiants, données bancaires, portefeuilles crypto) ;
  • Mystic Stealer : spécialisé dans le vol de données de navigateurs et d'applications comme Steam ou Telegram ;
  • Amadey : un chargeur qui permet de télécharger d'autres malwares ;
  • SmokeLoader : une porte dérobée polyvalente utilisée depuis plus de 10 ans.

Pour couronner le tout, certains échantillons contiennent des utilitaires conçus pour désactiver les protections telles que Microsoft Defender. C'est donc une véritable boîte à outils du parfait cybercriminel.

A découvrir
Meilleur antivirus, le comparatif en juillet 2024

01 juillet 2024 à 11h25

Comparatifs services

Unfurling Hemlock attaque, mais n'est pas invincible, voici comment vous protéger de cette menace tentaculaire

Comme toujours avec ces énergumènes qui empoisonnent nos vies et nos machines, voici quelques conseils pour vous prémunir contre les attaques d'Unfurling Hemlock.

Pour les utilisateurs

Méfiez-vous des pièces jointes et des liens suspects dans vos e-mails. C'est souvent le point d'entrée des hackers. Gardez également votre système d'exploitation et vos logiciels à jour. Les mises à jour comblent souvent des failles de sécurité.

De plus, utilisez un antivirus performant et actualisez-le régulièrement. Évitez de télécharger des logiciels depuis des sources non fiables. Et enfin, activez l'authentification à deux facteurs sur tous vos comptes importants.

Pour les DSI et les entreprises

Formez vos employés aux bonnes pratiques de cybersécurité. Ils sont souvent le maillon faible. Mettez aussi en place une politique de segmentation réseau afin de limiter la propagation en cas d'infection.

Nous vous recommandons également d'utiliser des solutions de détection et de réponse aux menaces (EDR/XDR) capables d'analyser les comportements suspects. Effectuez des sauvegardes régulières et stockez-les hors ligne. Pour finir, surveillez attentivement le trafic réseau pour détecter les communications suspectes.

Pour tous

Utilisez des mots de passe complexes et uniques pour chaque compte. Soyez prudent lorsque vous naviguez sur le Web et évitez les sites douteux. En cas de doute sur un fichier, utilisez des services d'analyse en ligne. Et surtout, jouez la carte du collectif. Partagez ces bonnes pratiques autour de vous, et enseignez-les à vos proches ou enfants qui ne sont pas souvent à l'aise avec la protection des données ni conscients des dangers de ces malwares.

Télécharger
6 /10
VirusTotal Scanner

    VirusTotal Scanner fournit simplement une interface graphique et logicielle au célèbre service en ligne VirusTotal. Rien d'exceptionnel mais le logiciel permet tout de même de scanner n'importe quel fichier sur le disque à la recherche de virus ou logiciels malveillants. À découvrir gratuitement !

    Source : Outpost24

    Par Mélina LOUPIA

    Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

    Articles de Mélina LOUPIA
    Malware / Ransomware
    Actualités High-Tech
    Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
    Suivez-nous pour ne rien rater de l'actu tech !
    Commentaires (0)
    Rejoignez la communauté Clubic
    Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
    Commentaires (2)
    F_Bombyx

    Des coréens ou des chinois? Je les vois pas trop quand même attaquer les russes…
    Ça doit être un clan international…

    « C’est souvent le point d’entrée des hackers »
    C’est LE point d’entrée des hackers!

    Ni russes, ni la nsa, et improbablement des asiatiques… Un coup des éditeurs d’antivirus?

    codeartemis37

    non

    sans doute

    de ceux qui utilisent le phising.
    et puis y’a ceux qui visent quelqu’un en particulier et là, c’est different

    Sur le même sujet
    Vos comptes Steam et Ubisoft peuvent être en danger, le malware Fickle Stealer leur tourne autour
    Attention à cette fausse mise à jour de Chrome qui tente de déployer des chevaux de Troie
    Si vous ne pouvez pas vous passer de Microsoft Office pour créer et partager vos documents, soyez attentifs à leurs vulnérabilités
    Propriétaires de routeurs D-Link et de NAS, attention, le malware Goldoon cible vos données, voici comment vous protéger
    Zoom, Meet et Skype deviennent les cibles favorites d'un malware
    Facebook