Les fichiers PDF chiffrs constituent la dernire astuce des pirates informatiques pour vous transmettre des logiciels malveillants, Qui exfiltrent ensuite vos informations personnelles

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Google rapporte que ColdRiver, un gang de pirates informatiques soutenus par la Russie, utilise un logiciel malveillant dguis en un logiciel de dchiffrement de fichiers PDF pour voler les informations personnelles de ses victimes. Les piratages envoient des documents PDF apparemment chiffrs par le biais de courriels d’hameonnage usurpant l’identit de personnes affilies leurs cibles. Et lorsque les destinataires rpondent qu’ils ne peuvent pas lire les PDF chiffrs, ils reoivent un lien leur permettant de tlcharger ce qui ressemble un excutable d’un faux logiciel de dchiffrement de PDF afin de visualiser le contenu des documents. Ils se retrouvent alors infects.

La nouvelle forme d’attaque de ColdRiver a t rvle par le groupe d’analyse des menaces (Threats Analysis Group – TAG) de Google la fin du mois de janvier. Le rapport du TAG indique que cette tactique a t observe pour la premire fois en novembre 2022. Pour mmoire, ColdRiver (alias Blue Charlie, Callisto, Star Blizzard ou UNC4057) est rpertori comme un gang de pirates informatiques que les chercheurs en cyberscurit souponnent de travailler pour le gouvernement russe. Il y a un an, des rapports de scurit ont signal que ColdRiver avait pris pour cible trois laboratoires de recherche nuclaire amricains.

Comme d’autres pirates, ColdRiver tente de dtourner l’ordinateur d’une victime en envoyant des messages d’hameonnage qui aboutissent la diffusion de logiciels malveillants. Dans le cadre de cette menace, l’quipe de Google a rapport que ColdRiver diffuse des logiciels malveillants porte drobe inconnus jusqu’ prsent, en utilisant des charges utiles se faisant passer pour un outil de dchiffrement de fichiers PDF. Selon le rapport du TAG, les pirates envoient des documents PDF apparemment chiffrs par l’intermdiaire de courriels d’hameonnage qui usurpe l’identit de personnes affilies leurs cibles.


Capture d’cran d’un texte chiffr dans un document leurre

Lorsqu’un destinataire rpond qu’il ne peut pas lire les documents « chiffrs », il reoit un lien leur permettant de tlcharger ce qui ressemble un excutable de l’outil de dchiffrement de PDF (nomm Proton-decrypter.exe) afin de visualiser le contenu des documents leurres. ColdRiver prsente ces documents comme un nouvel article d’opinion ou un autre type d’article que le compte d’usurpation d’identit cherche publier, en demandant la cible de donner son avis. Lorsque l’utilisateur ouvre le PDF anodin, le texte apparat chiffr , indique le rapport. Les victimes sont alors exposes une violation de donnes.

Selon le TAG de Google, le faux logiciel de dchiffrement joue deux rles : il affiche un document PDF leurre et ouvre une porte drobe sur les appareils des victimes l’aide d’une souche de logiciel malveillant baptise Spica par les chercheurs. Ces derniers pensent qu’il existe probablement plusieurs chantillons de Spica correspondant aux leurres d’hameonnage, chacun avec un document leurre diffrent. Toutefois, ils n’ont pu capturer qu’un chantillon lors de leur enqute sur cette campagne. Spica, crit en Rust, utilise JSON via des websockets pour communiquer avec son serveur de commande et de contrle (C2).

Les chercheurs de Google affirment que Spica semble tre le premier logiciel malveillant personnalis dvelopp par ColdRiver. Il permet d’excuter des commandes Shell arbitraires, de voler les cookies de Chrome, Firefox, Opera et Edge, de tlcharger des fichiers et d’exfiltrer des documents. Une fois dploy sur un appareil compromis, Spica tablit galement une persistance l’aide d’une commande PowerShell obscurcie qui cre une tche programme « CalendarChecker ». Google a ajout tous les domaines, sites Web et fichiers utiliss dans ces attaques son service de protection contre le phishing « Safe Browsing ».

L’entreprise dit galement inform tous les utilisateurs de Gmail et de Workspace cibls qu’ils taient la cible d’une attaque soutenue par le gouvernement. En outre, Google ajoute que l’objectif des pirates russes tait de voler les identifiants de connexion d’utilisateurs et de groupes lis l’Ukraine, l’OTAN, des institutions universitaires et des ONG. L’on ignore comment la socit est parvenue cette conclusion. Ce rapport intervient environ un mois aprs que les autorits amricaines ont averti que ColdRiver continue d’utiliser avec succs des attaques d’hameonnage cibl pour atteindre des cibles au Royaume-Uni.


Commande PowerShell obfusque


L’Agence amricaine de cyberscurit et de scurit des infrastructures (Cybersecurity & Infrastructure Security Agency – CISA) avait expliqu : depuis 2019, Star Blizzard a cibl des secteurs incluant l’universit, la dfense, les organisations gouvernementales, les ONG, les groupes de rflexion et les politiciens. Au cours de l’anne 2022, l’activit de Star Blizzard a sembl s’tendre davantage, pour inclure des cibles du secteur de la dfense et de l’industrie, ainsi que des installations du ministre amricain de l’nergie . ColdRiver est actif depuis fin 2015 et est connu pour ses comptences en matire de renseignement.

En dcembre, le Royaume-Uni et ses allis des Five Eyes ont tabli un lien entre ColdRiver et la division « Centre 18 » du Service fdral de scurit (FSB) de la Russie, le service de scurit intrieure et de contre-espionnage du pays. Auparavant, Microsoft a rapport avoir djou des attaques ColdRiver visant plusieurs pays europens de l’OTAN en dsactivant les comptes Microsoft que les attaquants utilisaient pour surveiller et rcolter des courriels.

Depuis dcembre 2023, le dpartement d’tat amricain offre des rcompenses allant jusqu’ 10 millions de dollars pour toute information permettant de localiser ou d’identifier les pirates informatiques du groupe ColdRiver.

Source : Google

Et vous ?

Quel est votre avis sur le sujet ?

Que pensez-vous de la menace rapporte par les chercheurs de Google ?

Avez-vous dj t confront ce type d’attaque ? Si oui, partagez votre exprience.

Voir aussi

Google accepte de supprimer les donnes des utilisateurs qu’il a secrtement collectes partir des sessions de navigation en mode Incognito, aprs avoir fait l’objet de poursuites judiciaires

L’envers du dcor de TikTok : Quelles donnes collecte-t-il rellement ? TikTok rcupre vos donnes mme si vous n’avez jamais utilis l’application que l’app soit supprime ou non, selon un rapport

Un courriel de phishing sur six est ouvert et le phishing par lien a t une russite dans 11 % des cas, rvle un nouveau rapport de Proofpoint



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.