Vous avez reçu une invitation Google Meet ? Attention, il s’agit peut-être d’un malware

De fausses invitations Google Meet déferlent en ce moment sur les boîtes mail. Derrière les liens de visioconférence, pas de réunion, pas des infostealers bien cachés.

D’abord des CAPTCHA montés de toutes pièces, et maintenant de faux messages d’erreur dans Google Meet. Une nouvelle campagne ClickFix bat actuellement son plein et use de stratégies bien ficelées pour attirer les internautes. Comme d’habitude, derrière le piège, le téléchargement d’un malware discret conduisant au vol de données de celles et ceux qui ont été bernés. Si vous recevez un lien vous invitant à rejoindre une conférence en visio, prudence, donc.

Un correctif malveillant

L’alerte émane de Sekoia, fournisseur de sécurité SaaS. Dans une note de blog officielle, l’équipe de recherche en sécurité de l’entreprise indique avoir découvert plusieurs sites web factices imitant à la perfection l’interface de Google Meet. Mais, détail qui n’en est pas un, ces pages frauduleuses ne fonctionnent pas. Elles affichent systématiquement une pop-up d’erreur, invoquant des problèmes de reconnaissance du casque et de micro. Objectif : pousser les internautes à cliquer sur l’un des boutons « Essayer de réparer » ou « Essayer à nouveau ».

Il n’en fallait pas plus pour que Sekoia mène l’enquête. Après avoir classé les noms de domaines impliqués, repéré des adresses IP associées, et identifié des adresses mail correspondant en tous points aux domaines malicieux, la société a confirmé qu’il s’agissait d’une nouvelle campagne active de ClickFix.

Pour rappel, la méthode ClickFix est un procédé plutôt pernicieux, reposant sur des stratégies de manipulation psychologique pour pousser les internautes à cliquer sur des boutons en apparence légitimes, mais en réalité vérolés.

Et c’est exactement ce même mécanisme qui est à l’œuvre derrière les prétendus problèmes techniques de Google Meet. En cliquant sur le bouton « Essayer de réparer », l’action entraîne la copie d’une commande malveillante dans le presse-papier sur Windows et le téléchargement d’un DMG (Launcher_v1.94) sur macOS. Les pirates derrière la campagne de diffusion trouvent ensuite un moyen d’inciter les victimes à coller le code dans l’invite de commandes Windows, ou à exécuter le DMG sur Mac pour appliquer le correctif malveillant.

La suite, tout le monde la connaît : le script est exécuté sur le système, et ouvre une porte dérobée pour les hackers qui peuvent exfiltrer les données qu’ils souhaitent vers un serveur distant, sans même que les utilisateurs et utilisatrices s’en rendent compte.

Google Meet, l'arbre qui cache la forêt

Sans entrer dans les détails très techniques de leurs investigations, les chercheurs et chercheuses de Sequoia sont parvenus à identifier plusieurs malwares à l’œuvre dans cette campagne. Sur Windows, il s’agit de Stealc et Rhadamanthys, tandis qu’AMOS Stealer opère sur macOS. S’ils diffèrent d’un OS à l’autre, ils correspondent bien tous à des infostealers. Aux manettes : deux groupes de cybercriminels, Slavic Nation Empire (SNE) et Scamquerteo, appartenant respectivement aux organisations pirates spécialisées dans le vol de cryptomonnaies, Marko Polo et CryptoLove.

Les recherches menées au sujet des fausses pages de Google Meet ont également révélé d’autres canaux de diffusion, reprenant le même principe que le détournement de la plateforme de visioconférence. Méfiez-vous donc des liens d’invitations inattendues reçus pour accéder à une réunion Zoom, lire vos PDF (DocuLama, VerdaScript), télécharger des jeux vidéo (Lunacy, Calipso, Battleforge, Ragon), essayer des navigateurs et projets Web3 (NGT Studio, Sleipnir Browser), ou encore basculer sur une nouvelle application de messagerie (Nortex).

En cas de doute, pensez toujours à bien vérifier la légitimité des adresses mail qui vous contactent et les URL des liens vers lesquelles elles vous invitent à cliquer. Le mieux étant, si vous souhaitez en avoir le cœur net, d’accéder manuellement aux sites web officiels depuis votre navigateur, puis de renseigner les codes de connexion reçus par mail. Si ça ne fonctionne pas, mieux vaut passer votre chemin.

Source : Sekoia