Des hackers russophones ont lancé une campagne de malwares baptisée « Tusk ». Ils créent de faux sites imitant des marques connues pour diffuser des logiciels malveillants comme DanaBot et StealC.
Chaque jour qui se lève semble apporter avec lui une nouvelle campagne de malwares. Et si les méthodes ont de quoi résigner, les hackers, eux, ne se lassent pas de les améliorer pour les rendre plus efficaces pour eux, plus redoutables pour leurs victimes.
Cette fois, tout comme le soleil, les cybercriminels se lèvent à l'Est. C'est, en effet, un groupe russophone qui a mis au point une campagne aussi vaste que la Russie que les chercheurs de Kaspersky ont baptisée « Tusk ». Des clones quasi parfaits de sites Web populaires en guise d'appât, qui font télécharger et installer en lieu et place d'une application ou d'un logiciel, un cheval de Troie truffé de malwares. Sa mission étant de rafler tout ce qui se trouve sous ses sabots : mots de passe, coordonnées bancaires, portefeuilles et actif crypto… Attila serait vert de jalousie.
2 noms pour la même campagne malveillante : « Tusk » pour les experts, « Mammoth » pour les hackers
Les cybercriminels derrière « Tusk » ont mis au point un véritable arsenal pour arriver à leurs fins. Comme souvent lors des campagnes que Clubic vous explique, ils utilisent une méthode simple et qui a déjà fait ses tristes preuves. Ils commencent par créer des sites Web qui ressemblent comme deux gouttes d'eau à des services légitimes. On y retrouve tout, du design aux logos, jusqu'aux boutons de téléchargement. Sauf que, comme au théâtre, les décors sont en carton-pâte et vous êtes le dindon de la farce.
Une fois que vous cliquez, vous lancez la machine infernale. Un premier logiciel s'installe, caché sous les traits d'une application créée sous Electron. Il vous demande de remplir un CAPTCHA, pour vous mettre en confiance pendant qu'il télécharge à votre insu deux autres fichiers malveillants.
Ces fichiers, ce sont des chevaux de Troie comme DanaBot et Stealc. Ils vont fouiller votre ordinateur de fond en comble pour en extraire toutes les données sensibles possibles : mots de passe, coordonnées bancaires, portefeuilles de crypto-monnaies, tout pour que rien ne leur échappe. Enfin, le butin est envoyé aux pirates qui jouent votre rôle sur le Web en usurpant votre identité, vous faisant chanter ou en revendant vos données sur le Dark Web.
Le petit truc en plus de « Tusk », pousser le vice jusqu'à injecter un logiciel baptisé « Clipper » qui va surveiller votre presse-papiers. Son intérêt, rôle, vous l'auriez deviné, est l'adresse de votre portefeuille de crypto-monnaies. Lorsque vous la saisissez, il la copie et la remplace par celle des pirates. Le moindre virement que vous effectuez va, sans que vous le sachiez, dans la poche des escrocs qui n'ont, finalement, pas fait grand-chose.
Les malwares sont redoutables, mais pas infaillibles à condition de bien se protéger
Que les hackers russophones ou de n'importe quelle contrée au monde ne se pensent pas invincibles. Entre les experts en cybersécurité qui les traquent et débusquent leurs campagnes malveillantes, et les services ou applications qui protègent nos machines et données, le karma finira bien par les retrouver. En attendant, comment se verrouiller ? La première règle d'or, c'est la méfiance. Même si un site Web a l'air parfaitement légitime, prenez le temps de vérifier son adresse URL. Les pirates utilisent souvent des noms de domaine qui ressemblent aux originaux, que ce soit sur la forme comme le fond, mais avec une petite différence. Par exemple, « tidyme.io » au lieu de « peerme.io ».
Ensuite, méfiez-vous des boutons de téléchargement trop aguicheurs. Si un site vous propose de télécharger une application, vérifiez toujours que vous êtes bien sur le site officiel de l'éditeur. En cas de doute, passez par les stores officiels comme l'App Store ou le Google Play Store ou mieux, vérifiez directement à la source pour voir quelles sont les nouveautés en téléchargement.
Enfin, équipez-vous d'un bon antivirus et gardez-le à jour. Leurs éditeurs et développeurs sont sur le qui-vive pour détecter et bloquer les nouvelles menaces. En principe, « Tusk » n'y survivra pas.
Et si malgré tout, vous pensez avoir été victime d'une campagne de malware, n'attendez pas. Changez tous vos mots de passe, contactez votre banque en cas de mouvements que vous n'avez pas initiés et surveillez de près vos comptes en ligne.
Source : Securelist
