LEBIGDATA.FR I.A, Cloud & Cybersécurité
En Inde, une nouvelle campagne de phishing exploite de faux avis d’imposition pour infecter les ordinateurs avec des logiciels malveillants. Des genres particulièrement dangereux.
Ce sont les chercheurs de CYFIRMA qui ont repéré cette opération. Celle-ci s’appuie sur un faux site web imitant presque parfaitement les communications officielles de l’administration fiscale indienne.
Le portail frauduleux, hébergé sur un domaine créé récemment, affiche un faux avis d’imposition très crédible. Il reprend des références juridiques, mentionne de prétendues pénalités financières et utilise un ton alarmant pour pousser les destinataires à agir sans réfléchir.
D’après les chercheurs, cette campagne semble motivée par des objectifs financiers plutôt que par une volonté de perturber immédiatement les systèmes ciblés. Son fonctionnement rappelle fortement celui de familles de chevaux de Troie commerciales bien connues, comme XWorm.
Les experts précisent toutefois qu’il est encore trop tôt pour attribuer avec certitude cette attaque à un groupe précis.
Comment les pirates piègent-ils leurs victimes ?
Les pirates invitent les personnes qui ouvrent ce faux avis à télécharger une archive ZIP. Ils présentent cette dernière comme un dossier contenant les documents officiels de leur évaluation fiscale.
Une fois décompressée, cette archive révèle une image disque servant à dissimuler la véritable charge malveillante. À l’intérieur se trouve un programme qui lance discrètement un second composant. Un fichier DLL camouflé pour ressembler à un service légitime de Windows.
Les chercheurs expliquent que ce chargeur utilise des techniques de chargement par réflexion. Une méthode conçue pour compliquer la détection par les logiciels de sécurité et rendre les analyses automatisées beaucoup plus difficiles.
Les deux fichiers sont protégés par un outil d’obfuscation connu. Ce qui rend leur inspection encore plus complexe pour les spécialistes de la cybersécurité.
Une fois installé, le malware agit comme un cheval de Troie d’accès à distance (RAT). Il offre aux attaquants un accès permanent et chiffré à l’ordinateur infecté.
Les pirates peuvent alors récupérer des informations sur le système, surveiller l’activité de l’utilisateur, identifier les logiciels de sécurité installés. Ils pourront même télécharger discrètement d’autres composants malveillants si nécessaire.
Toutes les communications avec le serveur des attaquants sont chiffrées. Elles passent par une adresse intégrée au programme, reliée à une infrastructure localisée à Hong Kong.
Pourquoi cette campagne devrait vous inquiéter ?
Tout simplement parce que cette opération dépasse largement le simple cas d’un faux e-mail. Elle s’inscrit dans une stratégie plus vaste consistant à exploiter le stress lié aux déclarations fiscales afin de faire baisser la vigilance des victimes.
CYFIRMA indique que la même architecture de chargement a déjà été observée lors d’attaques menées par des opérateurs de ransomwares. Cette infrastructure pourrait donc être utilisée dans différents types de cyberattaques et dans n’importe quel pays.
Ainsi, pour limiter les risques, les spécialistes recommandent d’utiliser un antivirus régulièrement mis à jour. Le type capable de détecter les comportements suspects des logiciels, et pas seulement les signatures connues.
Ils conseillent également de vérifier toute communication liée aux impôts directement sur les plateformes officielles des administrations concernées. Ils déconseillent donc fortement de cliquer sur les liens présents dans les messages reçus.
Enfin, CYFIRMA invite les organisations à empêcher, autant que possible, l’exécution de fichiers provenant d’archives compressées ou d’images disque. Un mode de diffusion largement exploité par cette campagne malveillante.
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
