Vous n'aimerez pas le pastejacking, cette technique utilisée par les cybercriminels pour s'infiltrer furtivement dans votre ordinateur

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 29 octobre 2024 à 19h07

La technique dite de « pastejacking » est de retour sur le devant de la scène cybercriminelle. Elle permet aux pirates informatiques de déployer un malware sophistiqué, « nommé Darkgate », de façon très sournoise. Décryptage de cette menace en pleine expansion.

Voici le morceau de code d'une attaque de pastejacking © Romain Basset / Vade / Alexandre Boero / Clubic

Les équipes de cybersécurité de Vade ont récemment mis en lumière une technique d'attaque particulièrement pernicieuse, baptisée « pastejacking ». Utilisée pour déployer un malware qualifié comme avancé nommé Darkgate, elle piège les utilisateurs en les poussant à coller dans leur terminal des commandes malveillantes. Rencontré à Monaco, lors des Assises de la cybersécurité ce mois-ci, Romain Basset, directeur des services clients chez Vade, spécialiste de la sécurité des e-mails, nous en dit plus sur cette nouvelle menace et la façon dont elle se propage.

Le pastejacking, c'est quoi ?

La technique du Pastejacking consiste à tromper les utilisateurs pour qu'ils collent dans leur terminal, comprenez l'ordinateur, des instructions malveillantes, en leur faisant croire que cela résoudra un problème technique. « L'idée, c'est de flouer la personne en lui faisant coller, depuis son appareil, des commandes malveillantes, mais avec un emballage complètement différent », explique Romain Basset.

Voilà le type d'e-mail piégé qu'un utilisateur peut recevoir © Romain Basset / Vade

Souvent, les hackers usurpent l'identité d'un fournisseur ou d'un prestataire de services pour rendre l'attaque plus crédible. Ils envoient ainsi un e-mail à la victime, message qui contient une pièce jointe censée résoudre un problème, comme une facture impayée ou un document manquant. « Typiquement, une facture sera en pièce jointe, c'est un fichier HTML. Et quand on regarde à l'intérieur du fichier HTML, ça imite l'interface graphique, le look de OneDrive, l'interface de partage de fichiers de Microsoft, relativement correctement », détaille le spécialiste.

Ici, le pirate pousse à faire une manipulation CTRL+V : au moment où on a cliqué quelque part, on a déjà chargé dans le presse-papier de la machine, un petit bout de code malveillant © Romain Basset / Vade

Une fois que la victime clique sur le lien ou ouvre le fichier, elle peut être confrontée à un message d'erreur qui prétend qu'il y a un problème de DNS ou de réseau. Elle est alors invitée à ouvrir une invite de commandes ou le PowerShell de Windows, pour taper une série d'instructions et ainsi y coller un bout de commande malveillant.

Ici, le hacker a ajouté un "flushDNS", une commande technique qui n'a aucun impact sur l'attaque, mais qui permet de donner un peu de crédit, puisqu'on parle d'un problème DNS. Il ajoute une commande tout simplement, et derrière, on retrouve un script PowerShell qui est codé en base64. Puis on vide le presse-papier, qui aide le hacker à effacer un peu ses traces © Romain Basset / Vade

Ce code, caché dans le presse-papier, va alors télécharger et dézipper un fichier zip contenant le malware Darkgate, avant de l'exécuter. Une fois l'infection réalisée, le hacker peut potentiellement vendre ou partager l'accès à la machine compromise à d'autres groupes cybercriminels pour mener des activités malveillantes.

Dans ce script PowerShell en base64, quand on le décrypte, il y a plusieurs parties : on télécharge la vraie charge malveillante en ligne, qui ici est dans un fichier zip, cela va créer un dossier Download, et puis assez classiquement, deuxième étape, on dézippe le contenu de l'archive dans ce dossier Download, et après on supprime l'archive. Encore une fois, le hacker essaie d'effacer les traces. La troisième étape consiste à lance le malware DarkGate © Romain Basset / Vade

Darkgate, un malware sophistiqué et évolutif

Darkgate est une famille de logiciels malveillants sophistiqués, connus pour utiliser des techniques d'évasion avancées qui permettent d'éviter la détection par les solutions antivirus classiques. « Le malware est principalement de type loader, c'est-à-dire qu'il va aider à charger d'autres fonctions, d'autres programmes dedans, par exemple exécuter des instructions dans la mémoire, faire du keylogger (de l'enregistreur de frappe). Il sait faire plein de choses, malheureusement », nous décrit Romain Basset.

Pour exécuter ses différentes fonctionnalités, le malware utilise notamment un langage de script appelé AutoIt. Une fois installé, Darkgate peut être utilisé par les pirates pour mener diverses activités malveillantes, comme le vol d'informations ou l'accès à distance à la machine infectée.

Autre élément intéressant, les hackers derrière ces attaques font preuve d'une grande adaptabilité. « C'est le côté non itératif des campagnes. La campagne a un format, les hackers exploitent à fond ce format, c'est-à-dire à la fois les contenus visuels, les services, les marques qu'ils vont usurper, la victimologie, donc les pays qui vont cibler, et les moyens techniques derrière », détaille Romain Basset.

Et l'expert de Vade de poursuivre : « À partir du moment où ils se rendent compte que ce format, que cette campagne ne fonctionne plus, ils passent à quelque chose de complètement différent ».

À découvrir

Des clés USB infectées déguisées en goodies ? L'improbable infiltration de hackers dans le fret maritime

12 octobre 2024 à 11h08

News

Des volumes importants et une géolocalisation fine

Selon les observations de Vade, ces attaques par pastejacking ont touché entre 400 000 et 500 000 e-mails malveillants. « Ce n'était vraiment pas des e-mails identiques, les pirates utilisent différents services, dont ils usurpent l'identité. Il y a une personnalisation par pays, clairement, aussi des variations autour des véhicules. C'est-à-dire qu'un coup, le cybercriminel utilise une page HTML avec un script en Javascript, un autre, il utilise une macro dans un fichier Word, ou un script dans un PDF », nous dit notre expert.

Mais la finalité reste la même, puisqu'on se retrouve alors pris au piège, toujours en train d'installer Darkgate en utilisant le fameux AutoIT. Les hackers font preuve de techniques d'évasion sophistiquées, comme le géoblocage IP, pour se prémunir contre la détection.

Romain Basset, aux Assises de la cybersécurité, à Monaco © Alexandre Boero / Clubic

Dans le cadre d'une attaque qui imitait le France Connect finlandais, les hackers « autorisaient uniquement les IP localisées en Finlande à accéder à leur contenu. La plupart des éditeurs qui ne sont pas en Finlande et n'ont pas d'infrastructures sur place, vont essayer d'accéder au contenu mais ne vont pas y arriver. Donc ils ne vont pas pouvoir déterminer qu'il s'agit d'un contenu malveillant ». Voilà qui est assez redoutable.

Une menace à prendre au sérieux

Face à cette menace en constante évolution, Romain Basset appelle les entreprises à rester vigilantes. « On veut sensibiliser les entreprises par rapport à ces attaques, toujours et encore. »

Avec des techniques de plus en plus sophistiquées et des volumes importants, le pastejacking est une menace à ne pas sous-estimer. Les équipes de sécurité et les utilisateurs doivent donc redoubler de vigilance pour protéger leurs infrastructures et leurs données.

À découvrir

Meilleur antivirus, le comparatif en novembre 2024

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Piratage

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (9)

Darth_1_1

Et donc il y a encore des gens qui suivent les instructions d’un mail, ouvrent l’invite de commande et tapent ce qu’on leur dit de taper?

louchi

Lol vive les concons

juju251

Ben oui.
Parce que des gens influençables ou qui ne connaissent pas grand chose en informatique, il y en aura toujours (et il y a d’autres vecteurs que le mail comme porte d’entrée à ce genre d’attaques).

Et aller, on tape sur les victimes …

Au lieu de blâmer les gens et de se prendre pour des dieux, ce serait tellement mieux si « ceux qui s’y connaissent » faisaient de la prévention et de la pédagogie …

Bon, sinon, trois rappels :

On ne copie / colle ou saisi jamais une commande dont on ne connait pas / comprends pas toutes les commandes et tous les paramètres.

De cette première règle, en découle une seconde : Si on télécharge un script (par exemple pour installer un soft), avant de l’exécuter, on y jette un sérieux coup d’oeil.

Avoir des connaissances de base en ligne de commande peut toujours être utile (au moins pour savoir ce qui est légitime ou non).

TheRealBeCool

Bonjour
je suis un hacker sans expérience.
veuillez ouvrir une invite de commande et tapez Format C:
merci de votre collaboration

mrbikett

Avec ce cas de figure comme à chaque fois : La seule faille de sécurité se trouve entre la chaise et le clavier.

Si on prend le mail de la capture d’écran :
Mail de Jérome … qui provient de alan@…
Rien que là, une personne qui fait attention à ce qu’elle lit et avec un QI supérieur a 3 sait que ça part à la poubelle. Sans blagues, si vous receviez un courrier papier qui vous réclame de l’oseille sans raison apparente, avec le logo de SFR sur l’enveloppe et celui de Bouygues sur le message, vous feriez ce qu’ils vous demandent ?

Qu’on ne me parle pas de pédagogie, à un moment donné, les personnes qui font ce que leur demande ce type d’e-mail sont des idiots inaptes à utiliser l’outil informatique par eux même. On pourra bien faire toute la pédagogie du monde, ça part de trop loin.

Binbin

Aucune infos sur l’origine des pirates ?
Bon après quand on lit ça :
« Dans le cadre d’une attaque qui imitait le France Connect finlandais, les hackers « autorisaient uniquement les IP localisées en Finlande … »
Je sais pas pourquoi mais quelque chose me dit qu’il s’agit d’un pays frontalier à la Finlande…

gymnez

C’est vrai que des abonnés à Clubic seraient en partie instruits un peu en informatique, et les autres qui ne connaissent pas Clubic des cibles potentielles ?

userresu

Travaillant dans un Service Informatique ; je te garantie que Oui ; les gens ne réfléchissent absolument pas avant de cliquer.
Ils se posent aucune question.
Malgré des mails de prévention ; à quoi faire attention ; etc etc
Et quand on leur demande « mais tu n’as pas vu que l’adresse mail était bizarre ? » la réponse c’est « nan mais si tu crois que j’ai le temps de regarder ça »
Et après ces mêmes personnes ronchonnent quand on les force à utiliser des authentifications multi-facteurs ; qu’on les oblige à changer de mot de passe régulièrement « purée faut encore changer de mot de passe ; mais y’en a marre »
Les gens sont indécrottables pour la plupart ; et quelques soient les âges ; je vois des jeunes de 25 ans sorti d’école d"ingé qui réagissent de cette manière et qui font les mêmes c*nneries

Laurent_Marandet

Quand on achète une licence de Windows 10 LTSC vendue pas cher sur un site conseillé par Clubic, comme le vendeur ne fournit pas d’image iso, il donne le lien pour aller chercher une version d’évaluation chez Microsoft. Pour pouvoir entrer le numéro de licence qui a été acheté, il faut passer par powershell et taper un certain nombre de commandes ! C’est tout sauf commode mais au moins on a le plaisir d’avoir un Windows LTSC sans être un grand compte.