Une nouvelle cyberattaque vise les ordinateurs Windows d’Europe. Les attaques commencent par de faux mails Booking.com qui déclenchent l’apparition d’un faux écran bleu de la mort. Celui-ci va ensuite pousser la cible à installer un virus.
Les chercheurs de Securonix lèvent le voile sur la nouvelle cyberattaque visant les ordinateurs Windows en Europe. L’offensive vise surtout le secteur de l’hôtellerie du Vieux Continent. Parmi les victimes, on trouve essentiellement des hôtels, des maisons d’hôtes, voire des agences de voyage ou d’autres intermédiaires. Les pirates « ciblent le secteur de l’hôtellerie-restauration pendant l’une des périodes les plus chargées de l’année, les fêtes de fin d’année », souligne le rapport de Securonix.
Comme l’expliquent les chercheurs, il s’agit d’une attaque de type ClickFix. Ce type d’attaque s’appuie sur la manipulation des internautes plutôt que sur l’exploitation d’une faille technique en elle-même. Les cybercriminels incitent leurs victimes à réaliser elles‑mêmes des actions dangereuses, ce qui leur permet de passer outre les protections et les mécanismes de sécurité classiques. Ce genre d’offensive est de plus en plus répandu. Les exemples récents ne manquent pas.
À lire aussi : Vague d’attaques contre Windows – les pirates ont 2 nouvelles tactiques pour propager des virus
Un faux mail de Booking comme point de départ
L’attaque débute par l’envoi d’un mail piégé qui provient soi-disant de Booking. Le courriel ressemble à un vrai message de Booking.com et évoque l’annulation d’une réservation par un voyageur, suivie d’un remboursement. Le montant est assez élevé (plus de 1000 euros) pour que la victime clique sans se poser de question. Le mail redirige l’internaute vers un faux site qui reprend les codes de celui de Booking. Logo, couleurs, mise en page… tout est fait pour ne pas éveiller les soupçons de la cible. De son point de vue, tout est normal. Pour « un œil non averti, elle est indiscernable du site légitime », indique Securonix.
Tout à coup, le faux site va afficher un écran bleu de la mort de Windows (Blue Screen of Death) en plein écran. Cet écran d’erreur critique apparaît sur le système d’exploitation quand celui-ci est obligé de s’arrêter ou de redémarrer.
« Ce changement radical est destiné à faire croire à l’utilisateur que son système a subi une panne critique, créant ainsi un moment de panique qui altère son jugement », explique le rapport.
Tout laisse penser que le PC vient de planter à cause d’une erreur inconnue. Le faux écran va alors proposer une solution à la victime. Il prétend que l’utilisateur doit suivre une série d’instructions bien précises pour relancer la machine en toute sécurité.
« L’utilisateur, déjà préoccupé par la possible fraude financière évoquée dans le courriel, cherche à régler au plus vite tout problème technique perçu », déclare Securonix.
À lire aussi : Microsoft a honte de l’écran bleu de la mort de Windows – il n’apparaitra plus en public
Des instructions malveillantes
Il demande par exemple d’appuyer sur Win+R, puis de faire CTRL+V et Entrée, en expliquant que cela va réparer l’ordinateur. Ce n’est évidemment pas le cas. Sans s’en rendre compte, la cible va copier-coller une commande cachée dans le terminal de l’ordinateur. Cette commande télécharge et installe en douce un logiciel malveillant sur le système d’exploitation. Il s’agit d’un malware appelé AsyncRAT, un RAT (Remote Access Trojan) open source qui permet à un attaquant de prendre le contrôle à distance d’une machine compromise.
Le virus va alors s’octroyer un accès complet au PC. Il va notamment voir tout ce qu’il se passe à l’écran et enregistrer tout ce qui est tapé sur le clavier. Par le biais du malware, l’attaquant va rechercher des mots de passe, des données de clients ou essayer de passer sur une autre machine du réseau de l’hôtel. Bref, les conséquences peuvent être dramatiques pour l’hôtel qui se retrouve dans le viseur des cybercriminels. Selon les investigations menées par les chercheurs, les pirates à l’origine de la cyberattaque sont d’origine russe.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.