Quand il s’agit de propager des logiciels malveillants, les cybercriminels ont plusieurs options pour livrer la charge utile. Ils peuvent mettre le malware en pièce-jointe d’un mail, ou dans le corps du message via un lien direct vers le fichier malveillant. Il existe également une autre technique appelée « Fake Downloader », qui consiste à inciter la victime à cliquer sur un lien la redirigeant en fait vers un site compromis pour télécharger un fichier malveillant, souvent sous l’apparence d’une mise à jour de logiciel ou d’un autre fichier bénin.
Tribune Proofpoint – En juin et juillet 2020, les chercheurs de Proofpoint a observé plusieurs campagnes « Fake Downloader » à travers le monde, principalement en France, au Canada, en Allemagne, en Espagne, en Italie au Royaume-Uni et aux Etats-Unis.
Ces récentes campagnes semblent être le fait de l’acteur TA569, également connu sous le nom de SocGholish. Au cours d’une seule campagne menée depuis le début du mois de juillet, Proofpoint a observé près de 18 000 messages de cet acteur.
Ces campagnes comportaient des liens vers des sites web compromis avec des injections HTML SocGholish, qui analysent la géolocalisation de l’utilisateur, son système d’exploitation et son navigateur. Si l’environnement de l’utilisateur répond à des conditions spécifiques, il est dirigé vers une page de mise à jour du navigateur usurpé. Ces pages utilisent l’ingénierie sociale pour convaincre les victimes potentielles de prendre des mesures, comme par exemple cliquer sur un bouton, ce qui permet de télécharger un fichier JavaScript ou HTA.
Sherrod DeGrippo, Directrice de la Détection des Menaces au sein de Proofpoint commente : « Bien que cette technique ne soit pas nouvelle, elle est toujours efficace car elle exploite le désir du destinataire de pratiquer une bonne hygiène de sécurité. Maintenir un logiciel à jour est un conseil de sécurité courant, et cet acteur l’utilise à son avantage. Ces campagnes illustrent le fait que les tactiques des cybercriminels n’ont pas besoin d’être nouvelles pour être efficaces, même dans le paysage actuel des menaces qui évolue rapidement. »
Exemple d’une fausse page de mise à jour circulant en France :
Vous trouverez plus de détails sur ces campagnes « Fake Downloader » sur le blog de Proofpoint.