LEBIGDATA.FR I.A, Cloud & Cybersécurité
Lorsque vous tapez l'adresse de Google dans votre navigateur, êtes-vous certain d'arriver sur le site authentique ? Cette question peut sembler étrange, mais elle est devenue pertinente avec la révélation d'une nouvelle forme de menace en ligne : des faux sites Google qui installent un malware sur votre appareil.
Oui, des experts en cybersécurité ont découvert une nouvelle méthode d'attaque par malware. Elle implique l'utilisation de fausses pages Google Sites et recourt à des astuces en HTML pour propager un logiciel malveillant.
La supercherie des faux sites Google
En premier lieu, il est crucial de comprendre comment les pirates opèrent pour piéger leurs victimes. Ils utilisent une méthode connue sous le nom de contrebande HTML, un procédé qui, bien que complexe, est redoutablement efficace. En intégrant un malware dans un fichier JSON hébergé sur un site externe, les attaquants parviennent à duper les internautes.
Jean Michael Alcantara, un chercheur chez Netskope Threat Labs, nous éclaire sur le sujet : « Il utilise une technique de contrebande HTML peu orthodoxe ». Grâce à ce stratagème complexe, le téléchargement d'AZORult est initié à l'insu complet de l'utilisateur.
L'objectif de cette vaste campagne de phishing dépasse la simple infection des dispositifs. En réalité, elle ambitionne également de rassembler des données sensibles pour les écouler dans l'obscurité du marché noir.
AZORult, qui se trouve au cœur de cette opération malicieuse, n'est certes pas un novice dans l'arène des cybermenaces. Identifié pour la première fois en 2016, ce logiciel malveillant a déjà marqué son territoire dans de multiples campagnes nuisibles.
Son efficacité à siphonner un éventail étendu d'informations personnelles a été maintes fois prouvée, attestant ainsi de sa dangerosité et de sa capacité à compromettre gravement la sécurité des données.
AZORult : un malware redoutable
AZORult, une fois installé, se met immédiatement au travail. Il commence par collecter des informations d'identification, ensuite, il s'empare des cookies. Puis, il explore l'historique des navigateurs, sans oublier de capturer des écrans. Il fouille également dans les documents, cherchant des extensions bien précises.
En parallèle, AZORult cible 137 types de portefeuilles de cryptomonnaie, révélant ainsi son penchant pour les valeurs financières. Les fichiers AXX et KDBX, créés par AxCrypt et KeePass respectivement, attirent aussi son attention. Ce faisant, il démontre sa capacité à infiltrer des données considérées comme hautement sécurisées.
LokiBot : une nouvelle menace malveillante
La menace dépasse largement AZORult. En effet, les hackers se servent aussi de fichiers de raccourci Windows (.LNK). Ces derniers exécutent des scripts PowerShell. Ils permettent ainsi de télécharger et d'activer d'autres malwares, comme LokiBot.
LokiBot, célèbre pour ses techniques de stéganographie, d'emballage multicouche, et de vie hors du terrain (LotL), ajoute une complexité supplémentaire. Ces méthodes montrent bien la sophistication croissante des cyberattaques. Elle rappelle également l'importance cruciale pour les internautes de rester éveillés et vigilants.
Les campagnes malveillantes visent diverses régions et groupes. Elles déploient des stratégies toujours plus créatives pour piéger les utilisateurs. Que l'approche soit des e-mails d'origine douteuse ou des PDF manipulés, l'intention reste identique.
L'objectif principal est de déployer des malwares pour soit dérober des données, soit obtenir un contrôle à distance de l'appareil compromis. Cette réalité impose une vigilance constante face à l'évolution des techniques malveillantes.
- Partager l'article :
