HP met en garde contre une nouvelle attaque très réaliste qui n’exploite aucune faille de sécurité, mais s’appuie sur l’ingénierie sociale. Concrètement, les auteurs de l’attaque transmettent un PDF par e-mail. Ils visent avant tout les entreprises, et font passer le message pour la suite d’un échange sur des produits. Le PDF ne contient aucun code malveillant, mais utilise les logos d’Adobe pour paraître officiel, et indique qu’il s’agit d’un document confidentiel, avec un bouton à cliquer pour le visionner sur le site d’Adobe.
Le site en question est un faux, une copie convaincante de celui d’Adobe. Il indique que le logiciel de l’utilisateur est obsolète et qu’il faut télécharger une mise à jour. Il affiche ensuite une animation en JavaScript avec des phases comme l’initialisation, le téléchargement de composants et la vérification d’intégrité.
Le processus renforce l’idée qu’il s’agit bien du site légitime. Ce n’est qu’à la fin de cette animation que l’utilisateur est invité à télécharger un fichier exécutable. Il s’agit bien entendu d’un malware, une version modifiée de l’outil d’accès à distance ScreenConnect. Une fois installé, il donne accès à l’ordinateur de la victime.
Une cyberattaque particulièrement soignée
Selon HP, cette attaque reflète une nouvelle tendance de l’ingénierie sociale hyperréaliste, utilisant des leurres animés et soignés pour tromper leurs victimes. Nous sommes loin des attaques qui pouvaient se repérer rien qu’aux fautes d’orthographe…
Dans son rapport HP Wolf Security, la firme signale aussi une autre attaque qui commence avec la même technique du PDF. Cette fois, lorsque la victime clique dans le PDF pour lire le document, cela renvoie vers un fichier hébergé sur Discord.
Cela évite aux auteurs de gérer l’hébergement du fichier eux-mêmes, et Discord apparaît comme un site de confiance. Le malware modifie ensuite la protection Intégrité Mémoire de Windows 11 pour pouvoir installer Phantom Stealer, qui peut voler mots de passe, numéros de carte bancaire ou encore des fichiers.
Comme très souvent, le meilleur moyen d’éviter ces menaces reste de suivre l’un des principes les plus anciens en matière de cybersécurité : ne jamais ouvrir une pièce jointe sans être certain de son origine et de sa légitimité.