Entre novembre 2023 et février 2024, les hackers russes d’APT28 ont orchestré une vaste campagne de phishing sur les ordinateurs tournant sous Windows. La cyberattaque, plutôt sophistiquée, vise à dérober des données personnelles sur les machines infectées. L’opération a été mise en lumière par les chercheurs d’IBM dans une enquête.
Dans un premier temps, les cybercriminels, aussi connus sous le nom de Forest Blizzard ou Fancy Bear, vont transmettre un mail frauduleux à leurs cibles. Spécialisés dans l’espionnage et mandatés par la Russie, les hackers se font passer pour des organisations gouvernementales et des ONG en provenance de plusieurs régions du monde, dont l’Europe.
À lire aussi : Pourquoi la France est submergée par les cyberattaques ?
Un PDF piégé et un gestionnaire exploité
Ces courriels sont accompagnés d’un fichier PDF en pièce jointe. Au sein du document, les pirates ont glissé des liens URL qui relaient vers des sites web malveillants. Ces sites sont conçus pour exploiter des outils de Microsoft intégrés au système d’exploitation Windows, à savoir les gestionnaires de protocole URI « search-ms: » et le protocole d’application « search: ».
Intégré à Windows, « search-ms: » lance des recherches personnalisées sur l’appareil, permettant par exemple de retrouver facilement des fichiers ou des informations. Le protocole “search:” active quant à lui l’application de recherche de bureau de Windows, ce qui facilite la recherche de contenu sur l’ordinateur. Ces outils peuvent être utilisés par des sites ou des applications pour améliorer l’expérience utilisateur, mais, en l’occurrence, ils ont été exploités par des cybercriminels.
Les hackers russes se servent en effet des gestionnaires pour déployer des logiciels malveillants. Après avoir cliqué sur les liens HTML piégés, la victime se retrouve en effet à réaliser des recherches sur un serveur à distance sous le contrôle intégral des pirates. Ceux-ci vont alors demander à la cible de télécharger un autre fichier PDF sur leur ordinateur :
« Une fois qu’une victime visite un site armé, on lui présente une image floue du document de leurre. Un bouton invite l’utilisateur à afficher le document en cliquant ».
C’est ce document qui cache un malware. Pour endormir la méfiance des cibles, les pirates se servent parfois de véritables documents officiels émis par des entités gouvernementales. Une fois déployé sur l’ordinateur, le virus va scrupuleusement exfiltrer toutes les données du PC. D’après l’enquête menée par IBM, les cybercriminels se servent de malwares comme Masepie, Oceanmap et Steelhook.
Ce n’est pas la première fois que des pirates se servent d’un outil Microsoft pour orchestrer leurs cyberattaques. Pendant un temps, des cybercriminels détournaient « ms-appinstaller », un protocole qui permet d’installer, mettre à jour ou désinstaller des applications à partir de fichiers d’installation sur des appareils Windows, pour propager des ransomwares. Dos au mur, Microsoft a préféré désactiver le protocole.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : IBM
Hameçonnage s’il vous plait.