Si on vous demande l'accès à votre machine via AnyDesk, méfiance - © monticello / Shutterstock.com
Si on vous demande l'accès à votre machine via AnyDesk, méfiance - © monticello / Shutterstock.com

Un nouveau groupe de ransomware, Mad Liberator, cible les utilisateurs d'AnyDesk depuis juillet 2024. Il se fait faire passer pour le service informatique et lance une fausse mise à jour Windows pour masquer l'exfiltration de données sensibles.

On ne le répétera jamais assez : on n'ouvre pas la porte de chez soi à des inconnus. Eh bien, il en va de même lorsqu'il s'agit de laisser entrer quelqu'un dans votre ordinateur, qu'il soit personnel ou professionnel. Même les outils les plus répandus peuvent être détournés par des esprits mal tournés.

C'est exactement le cas de figure qui se présente avec l'apparition récente de Mad Liberator, qui utilise AnyDesk pour siphonner vos données. Et pour passer incognito et laisser sa proie lui céder son accès, Mad Liberator se déguise en « gars du service informatique » qui lance en fait une fausse mise à jour Windows pendant qu'il récupère son butin.

Mad Liberator : un loup déguisé en technicien du service de maintenance

Si Mad Liberator est classé dans la gamme des ransomwares, il n'est pas vieux et n'utilise pas exactement les mêmes codes.

L'utilisateur ciblé commence par recevoir une demande de connexion de ce qui lui apparaît comme émanant du technicien du service de maintenance de la boîte. Bien souvent happé par les automatismes de ce genre de manipulation ou par une mission confiée par un chef, il l'accepte d'un clic distrait. Erreur fatale. Il vient en fait d'autoriser un hacker à déployer un binaire nommé « Microsoft Windows Update ». Ce malware affiche un faux écran de mise à jour Windows qui donne l'illusion d'une maintenance en cours. Pendant que la proie continue de penser à une mise à jour en cours, elle ne s'occupe pas de cette fenêtre.

Mad Liberator cible particulièrement les fichiers stockés sur OneDrive et les serveurs centraux accessibles via des partages réseau. L'exfiltration des données se fait via la fonction de transfert de fichiers d'AnyDesk, le tout à l'insu de l'utilisateur dont le clavier et la souris sont désactivés.

Une fois le butin récupéré, les pirates laissent des notes de rançon sur le réseau de l'entreprise.

Mad Liberator est classé dans la gamme des ransomwares © I do it studio / Shutterstock

Sécuriser l'accès à distance : les alternatives à AnyDesk

Si cette fois, AnyDesk est utilisé par les hackers pour injecter leur malware, par le passé, c'est une cyberattaque qu'il a subie. En février dernier, l'outil de partage à distance s'est tout simplement fait hacker les données de ses utilisateurs « grâce » à une faille de sécurité de son système d'information. C'est peut-être suffisant pour certains utilisateurs pour explorer d'autres solutions.

TeamViewer, la référence

  • Version complète gratuite pour un usage personnel
  • Panneau d'actions rapides
  • Accès multiplateforme
8 / 10

Un chiffrement de bout en bout et une authentification à deux facteurs sont à coup sûr deux très bons points pour choisir cette solution. Côté faiblesse, son prix peut être élevé pour les petites structures.

Zoho Assist, le bon rapport qualité-prix

Sa facilité d'utilisation et son intégration avec d'autres outils Zoho font de Aoho Assist un bon outil, mais peut manquer de fonctionnalités avancées pour certains utilisateurs professionnels.

Assistance Rapide de Windows, l'application intégrée

  • Application native de Windows 10
  • Facile à utiliser
  • Outil gratuit
9 / 10

Intégrée nativement à l'OS, Assistance Rapide est une option pratique pour un dépannage ponctuel. Simple d'utilisation, elle a cependant une portée limitée comparée aux solutions dédiées.

Quelle que soit la solution choisie, quelques règles d'or s'imposent :

  • Vérifiez toujours l'identité de la personne demandant l'accès ;
  • Utilisez l'authentification à deux facteurs quand c'est possible ;
  • Limitez les autorisations accordées pendant la session ;
  • Surveillez l'activité sur votre écran, même durant une mise à jour ;
  • Déconnectez la session dès que l'intervention est terminée.

Source : Sophos