Avez-vous reçu une invitation à des appels vidéo via Google Meet ? Vous devez réfléchir avant de cliquer sur le lien, car il peut s’agir d’un dangereux malware.
Les pirates informatiques trouvent toujours une nouvelle forme de malware pour piéger les internautes afin de voler des données sensibles. Récemment, ils ciblent leurs victimes avec de faux appels Google Meet interrompus. Découvrez ici les détails de ce nouveau malware dangereux.
Une nouvelle variante de l’attaque ClickFix
Ces faux appels Google Meet sont utilisés par les pirates informatiques afin d’infecter les appareils des victimes avec des logiciels malveillants. Selon les experts, cette attaque vise à récupérer des informations sensibles.
Les chercheurs en cybersécurité Sekoia rapportent que la campagne n’est autre qu’une nouvelle variante de l’attaque ClickFix qui a été observée précédemment.
Rappelons que les victimes de cette campagne se voient dévoiler une fausse page d’erreur. À titre d’exemple, il peut s’agir d’un navigateur obsolète qui ne peut pas par conséquent ouvrir un certain site web.
Ensuite, les pirates proposent un correctif comme un « patch » ou encore une « mise à niveau de version ». Je dois dire que la campagne est bien élaborée. Cependant, si les victimes ne téléchargent pas le « correctif », leurs terminaux ne seront pas infectés avec différents programmes malveillants.
Les chercheurs de Sekoia ont enregistré de nombreux sites web se faisant passer pour des pages de destination de visioconférence Google Meet. Ainsi, une fois que nous ouvrons ces sites Web, nous voyons une erreur relative à notre caméra ou à notre microphone.
Le site nous propose ensuite une solution sous un code PowerShell, copié dans le presse-papiers. Ce dernier s’exécute ensuite dans l’invite de commande Windows. Ce code montre au final soit le voleur d’informations StealC, soit Rhadamanthys.
Rappelons que macOS est aussi la cible de cette attaque. Mais dans ce cas, les pirates informatiques laissent le voleur AMOS sous la forme d’un fichier .DMG appelé « Launcher_v194 ».
Les acteurs de la menace de cette campagne sont baptisé Slavic Nation Empire (SNE) et Scamquerteo. Il semblerait que ce soit des sous-groupes d’autres acteurs de la menace connus sous le nom respectif Marco Polo et CryptoLove.
Une campagne visant également d’autres plateformes
Sekoia a également affirmé que les pirates ciblent d’autres plateformes en ligne avec cette attaque. Parmi ces plateformes, on peut citer Zoom, les faux jeux vidéo (Lunacy, Calipso, Battleforge, Ragon) et les lecteurs PDF.
Parmi les sites concernés, il y a aussi les navigateurs, et projets Web3 (NGT Studio) ainsi que les applications de messagerie (Nortex). Ils ont été utilisés de façon abusive dans le même objectif.
Pour ces plateformes, l’attaque commence certainement par un e-mail de phishing et cible notamment les entreprises de transport et de logistique.
Avez-vous déjà été victime de ce genre de malware ? Qu’est-ce que vous avez fait ? N’hésitez pas à donner des conseils dans le commentaire !
- Partager l’article :
Notre blog est alimenté par les lecteurs. Lorsque vous achetez via des liens sur notre site, nous pouvons percevoir une commission d’affiliation.
Plus de détails sur l’article original.