La campagne, qui vous incite à procéder à une fausse mise à jour d'un logiciel, a récemment été repérée par les chercheurs de Proofpoint dans plusieurs pays, dont la France.
La technique n'est pas nouvelle, mais elle reste d'une redoutable efficacité pour les cybercriminels, surtout face à un public toujours plus friand de sécurité informatique. L'équipe de chercheurs du spécialiste américain de la cybersécurité Proofpoint, a révélé il y a quelques jours avoir observé plusieurs campagnes de « Fake Downloader », une pratique qui incite à faussement mettre à jour des applications qui font autorité, comme un moteur de recherche par exemple.
La France parmi les pays les plus touchés
L'idée du Fake Downloader est d'inciter une cible à cliquer sur un lien qui la redirige ensuite vers un site compromis pour télécharger un fichier malveillant, prenant la forme d'une mise à jour logicielle par exemple ou d'un autre fichier inoffensif à télécharger, en réalité vérolé.
La technique de phishing avait un peu disparu de la circulation ces derniers temps, mais à l'instar du logiciel malveillant inséré en pièce jointe d'un mail ou du lien présent dans le corps d'un message pointant vers un malware, elle est toujours active, et a même connu une recrudescence récemment.
Les spécialistes de Proofpoint indiquent avoir identifié, aux mois de juin et juillet, pas moins de 18 000 messages émanant de TA569, un acteur également connu sous le nom de SocGholish. Les utilisateurs ciblés sont majoritairement issus de France, du Canada, d'Allemagne, des États-Unis, d'Espagne, du Royaume-Uni et d'Italie.
Des cybercriminels qui font miroiter aux victimes une mise à jour de leur navigateur
Dans le détail, les campagnes comportaient des liens vers des sites web compromis avec des injections HTML SocGholish, qui utilisent la géolocalisation de la victime, son navigateur et son système d'exploitation. Ensuite, si l'environnement de l'utilisateur répond à certaines conditions, il est ensuite dirigé vers une page de mise à jour du navigateur usurpé, Google Chrome par exemple.
Même si les copies ne sont pas parfaites, les hackers utilisent souvent des pages qui ressemblent grandement en apparence aux pages des navigateurs, toujours dans le but non pas de convaincre des spécialistes mais bien des victimes peu averties aux dangers de la cybercriminalité. En cliquant sur le bouton de mise à jour, l'utilisateur laisse la porte grande ouverte pour télécharger un fichier JavaScript ou HTA.
« Bien que cette technique ne soit pas nouvelle, elle est toujours efficace car elle exploite le désir du destinataire de pratiquer une bonne hygiène de sécurité. Maintenir un logiciel à jour est un conseil de sécurité courant, et cet acteur l'utilise à son avantage », explique Sherrod DeGrippo, Directrice de la détection des menaces chez Proofpoint. Et la spécialiste de poursuivre : « Ces campagnes illustrent le fait que les tactiques des cybercriminels n'ont pas besoin d'être nouvelles pour être efficaces, même dans le paysage actuel des menaces qui évolue rapidement ».
Après tout, c'est dans les vieux pots qu'on fait les meilleures soupes, comme le dit si bien l'expression.
