Le malware diffusé par Unfurling Hemlock produit l'effet d'une bombe sur vos machines © Razvan Ionut Dragomirescu / Shutterstock
Le malware diffusé par Unfurling Hemlock produit l'effet d'une bombe sur vos machines © Razvan Ionut Dragomirescu / Shutterstock

Ils se font appeler Unfurling Hemlock et sèment la panique sur nos ordinateurs. Ces cyberterroristes inondent les systèmes de multiples malwares en une seule attaque. Cette « bombe à fragmentation » numérique menace entreprises et particuliers depuis début 2023.

Le moins que l'on puisse dire du gang dénommé Unfurling Hemlock, c'est qu'il n'est pas un lapin de six semaines, mais un beau lièvre d'un an et demi. Depuis février 2023, ce groupe de hackers a mis au point une technique redoutable pour infecter ses victimes. Au lieu de se contenter d'un seul malware, ceux-ci en déploient jusqu'à 10 simultanément sur les systèmes ciblés. Cette méthode, que l'on peut qualifier de « bombe à fragmentation », permet aux pirates de maximiser leurs chances de réussite et leurs profits.

Les chercheurs de KrakenLabs, et plus précisément l'équipe Cyber Threat Intelligence d'Outpost24, ont découvert plus de 50 000 fichiers malveillants liés à cette campagne. Les États-Unis en sont la cible principale, suivis par l'Allemagne et la Russie. Voleurs de données, botnets, portes dérobées… Unfurling Hemlock utilise un véritable arsenal pour s'infiltrer dans les systèmes et y semer le chaos. Cette bombe sera-t-elle bientôt larguée sur nos machines ?

Une bombe à fragmentation qui pulvérise vos défenses

Les experts en cybersécurité n'ont pas choisi ce terme au hasard. La technique d'Unfurling Hemlock rappelle en effet le fonctionnement d'une bombe à fragmentation militaire. Tout commence par l'exécution d'un fichier baptisé « WEXTRACT.EXE », généralement reçu par e-mail ou téléchargé à partir d'un site compromis. Ce premier fichier est en réalité un cheval de Troie, qui contient plusieurs niveaux de fichiers compressés et imbriqués.

Chaque niveau renferme deux éléments : un échantillon de malware et un autre fichier compressé. Lorsque le processus de décompression atteint sa phase finale, les fichiers extraits sont exécutés dans l'ordre inverse. Résultat : la machine de la victime se retrouve submergée par une vague de logiciels malveillants en quelques secondes.

Cette approche offre plusieurs avantages aux pirates. D'abord, elle augmente considérablement leurs chances de succès. Si un malware est détecté et bloqué, d'autres peuvent passer entre les mailles du filet. Ensuite, elle leur permet de diversifier leurs attaques et leurs sources de revenus. Certains malwares volent des données, d'autres installent des portes dérobées ou transforment l'ordinateur en machine zombie pour qu'il rejoigne un botnet.

Le malware d'Unfurling Hemlock est dévastateur pour vos données et votre machine © Pungu x / Shutterstock
Le malware d'Unfurling Hemlock est dévastateur pour vos données et votre machine © Pungu x / Shutterstock

Parmi les outils préférés d'Unfurling Hemlock, on en trouve certains dont Clubic vous a déjà parlé, comme :

  • RedLine : un voleur de données qui cible les informations sensibles (identifiants, données bancaires, portefeuilles crypto) ;
  • Mystic Stealer : spécialisé dans le vol de données de navigateurs et d'applications comme Steam ou Telegram ;
  • Amadey : un chargeur qui permet de télécharger d'autres malwares ;
  • SmokeLoader : une porte dérobée polyvalente utilisée depuis plus de 10 ans.

Pour couronner le tout, certains échantillons contiennent des utilitaires conçus pour désactiver les protections telles que Microsoft Defender. C'est donc une véritable boîte à outils du parfait cybercriminel.

A découvrir
Meilleur antivirus, le comparatif en novembre 2024

21 novembre 2024 à 11h06

Comparatifs services

Unfurling Hemlock attaque, mais n'est pas invincible, voici comment vous protéger de cette menace tentaculaire

Comme toujours avec ces énergumènes qui empoisonnent nos vies et nos machines, voici quelques conseils pour vous prémunir contre les attaques d'Unfurling Hemlock.

Pour les utilisateurs

Méfiez-vous des pièces jointes et des liens suspects dans vos e-mails. C'est souvent le point d'entrée des hackers. Gardez également votre système d'exploitation et vos logiciels à jour. Les mises à jour comblent souvent des failles de sécurité.

De plus, utilisez un antivirus performant et actualisez-le régulièrement. Évitez de télécharger des logiciels depuis des sources non fiables. Et enfin, activez l'authentification à deux facteurs sur tous vos comptes importants.

Pour les DSI et les entreprises

Formez vos employés aux bonnes pratiques de cybersécurité. Ils sont souvent le maillon faible. Mettez aussi en place une politique de segmentation réseau afin de limiter la propagation en cas d'infection.

Nous vous recommandons également d'utiliser des solutions de détection et de réponse aux menaces (EDR/XDR) capables d'analyser les comportements suspects. Effectuez des sauvegardes régulières et stockez-les hors ligne. Pour finir, surveillez attentivement le trafic réseau pour détecter les communications suspectes.

Pour tous

Utilisez des mots de passe complexes et uniques pour chaque compte. Soyez prudent lorsque vous naviguez sur le Web et évitez les sites douteux. En cas de doute sur un fichier, utilisez des services d'analyse en ligne. Et surtout, jouez la carte du collectif. Partagez ces bonnes pratiques autour de vous, et enseignez-les à vos proches ou enfants qui ne sont pas souvent à l'aise avec la protection des données ni conscients des dangers de ces malwares.

Source : Outpost24