À l’aide d’un faux assistant Windows, les attaquants demandaient à leurs victimes de copier-coller un script d’installation d’un programme malveillant.

La société de cybersécurité française Vade, désormais intégrée à Hornetsecurity, a détaillé, durant les Assises de la cybersécurité à Monaco, le 10 octobre 2024, une vaste campagne cybercriminelle. Visant des entreprises dans plusieurs pays d’Europe, dont la France, elle cherchait à pousser un utilisateur à copier-coller un script malveillant déclenchant le téléchargement d’un malware.

Les cybercriminels s’appuyaient pour cela sur des opérations poussées d’ingénierie sociale, qui leur permettaient de se faire passer pour un partenaire de leur victime. Ils lui demandaient alors de vérifier en urgence l’authenticité d’un document financier, stocké dans OneDrive. Quand l’utilisateur tentait d’ouvrir le fichier, un chargement se lançait, doublé d’un faux message d’erreur d’Outlook, qui proposait de réparer la panne.

Si la victime acceptait, le faux assistant Windows copiait automatiquement un script, soit-disant pour mettre à jour le logiciel, et proposait de le copier dans le terminal de l’ordinateur. Ce script déclenchait en fait l’installation d’un logiciel malveillant, DarkGate, qui donnait aux cybercriminels un accès à l’ordinateur.

La campagne a visé des centaines d’organisations en Europe, via des messages personnalisés et variés. Des éléments en russe dans le code utilisé laissent supposer que les attaquants sont originaires de Russie ou d’une ex-république soviétique.

« Il est probable que ce groupe de hackers cherche d’abord à obtenir le plus d’accès avant de les revendre aux cybercriminels les plus offrants, qui se chargeront ensuite de mener d’autres attaques » a indiqué à Numerama Romain Basset, directeur des services clients de Vade.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.