Une nouvelle campagne malveillante vise les ordinateurs Windows. Les pirates se servent d’économiseurs d’écran piégés pour prendre le contrôle de la machine des utilisateurs.
Windows est à nouveau dans le viseur des pirates. Les chercheurs de ReliaQuest ont découvert une campagne malveillante qui exploite les fichiers d’économiseur d’écran Windows pour piéger les internautes. La cyberattaque repose en effet sur des fichiers .scr, qui permettent normalement d’installer un économiseur d’écran sur l’ordinateur.
À lire aussi : Microsoft enterre un protocole de sécurité Windows créé en 1993
Un fichier déguisé en facture
Les pirates commencent par entrer en contact avec leur cible par mail. Pour endormir la méfiance de leur interlocuteur, ils prétendent que le mail concerne une facture, un résumé de projet, ou un document interne. Les hackers visent surtout les employés d’entreprises et personnalisent leurs appâts en fonction des informations en leur possession.
Dans le message, il y a un lien vers un service de stockage en ligne, tel que GoFile. Contrairement à d’autres opérations de phishing, le mail piégé ne comprend pas de pièce jointe. En cliquant sur le lien, la cible arrive sur une page web qui lui propose de télécharger le document évoqué dans le mail. Bien souvent, les pirates prétendent qu’il s’agit d’une facture.
Cependant, ce document est un fichier .scr. En théorie, il s’agit donc d’un fichier inoffensif qui permet simplement d’installer un économiseur d’écran. C’est pourquoi les utilisateurs, comme les mécanismes de sécurité, ne se méfient pas. Ces fichiers « permettent souvent d’échapper aux contrôles de sécurité principalement axés sur les fichiers .exe. », souligne ReliaQuest.
Beaucoup d’utilisateurs ignorent qu’un .scr est un programme exécutable, comme un fichier .exe. Le fichier est donc capable d’installer des logiciels sur l’ordinateur, ce qui représente un risque de cybersécurité. C’est « la première fois que nous identifions une campagne utilisant des leurres à thématique professionnelle pour inciter les utilisateurs à télécharger un fichier .scr », relate le rapport. La victime double‑clique donc sur le .scr téléchargé, sans se douter de ce qui l’attend.
À lire aussi : Scandale sur Windows – Microsoft a permis au FBI de déverrouiller des PC chiffrés avec BitLocker
Prise de contrôle à distance
En coulisses, ce fichier va vite installer un vrai logiciel d’assistance à distance sur l’ordinateur, à l’insu de l’utilisateur. Là encore, l’utilisation d’un logiciel d’assistance légitime vise à passer sous le radar. Étant donné que ces logiciels sont parfois utilisés en entreprise, les antivirus et autres solutions de sécurité ne se déclenchent pas. Ces « logiciels de confiance » sont transformés « en dispositifs d’accès distant persistants », explique ReliaQuest.
Une fois l’outil installé, les pirates peuvent se servir du PC comme le ferait un technicien. Les hackers peuvent voir ce qui se passe à l’écran, bouger la souris, transférer des fichiers, et lancer des commandes. À ce stade, les cybercriminels peuvent faire ce qu’ils souhaitent. Ils peuvent voler des fichiers sensibles, des mots de passe, obtenir des accès supplémentaires, puis se propager à d’autres machines de l’entreprise. Comme l’indiquent les chercheurs, les hackers peuvent en profiter pour déployer un ransomware sur tout le réseau. Pour éviter les risques, les chercheurs recommandent de ne jamais télécharger un fichier partagé par un mail non sollicité, même s’il s’agit d’un format de fichier généralement inoffensif.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.