Les chercheurs en cybersécurité de WithSecure lèvent le voile sur une campagne malveillante qui repose sur la diffusion d’un faux gestionnaire de mots de passe. La cyberattaque a fait des ravages pendant plus de huit mois avant d’être découverte par les chercheurs. L’offensive s’appuie sur une version piégée de KeePass, un outil open source très populaire permettant de stocker et de gérer ses mots de passe.
À lire aussi : Arnaque au téléphone – pourquoi il ne faut plus dire « allô » quand personne ne répond
Une copie convaincante
Cette version factice, baptisée KeeLoader par les chercheurs, ne se contente pas de ressembler à KeePass. La version frauduleuse reprend toutes les fonctionnalités du gestionnaire de mots de passe. La victime pouvait l’utiliser normalement, enregistrer ses mots de passe, et les consulter. Il est impossible de se douter que le logiciel s’empare des données encodées pour les transmettre à des pirates sur des serveurs à distance. Pour rendre le piège encore plus redoutable, KeeLoader était signé avec un certificat numérique valide. De facto, les antivirus et autres outils de sécurité ne se rendaient pas compte de la supercherie.
À lire aussi : Des milliers de SMS frauduleux envoyés depuis une voiture – l’arnaque « SMS Blaster » fait des ravages
Des pubs frauduleuses
Pour attirer les victimes, les pirates se sont servis de publicités malveillantes sur des moteurs de recherche. En tapant KeePass sur Bing ou DuckDuckGo, certains internautes tombaient sur des annonces en apparence légitimes, qui semblaient pointer vers le site officiel du logiciel. En vérité, ces pubs redirigeaient l’internaute vers des sites factices, taillés pour diffuser la version frauduleuse du gestionnaire de mots de passe. Ces sites utilisent des adresses modifiées, proches de la version originale, pour duper les internautes.
Une fois installé sur la machine d’un administrateur, KeeLoader procédait en deux temps. D’abord, il exportait silencieusement tous les mots de passe de la base de données KeePass, dont les identifiants, les codes, les adresses de sites, et les commentaires, dans un fichier texte, stocké sur le disque dur. Ensuite, ce fichier est envoyé sur le serveur des pirates. Ceux-ci peuvent s’en servir pour se connecter aux comptes.
Une attaque par ransomware
Le faux KeePass a notamment été utilisé dans le cadre d’attaques par ransomware il y a quelques mois. Les cybercriminels ont pu accéder à des serveurs VMware ESXi, des machines virtuelles qui font tourner l’infrastructure informatique de nombreuses entreprises. Ils ont alors chiffré toutes les données avec un ransomware. Selon les chercheurs, c’est Black Basta, un redoutable gang spécialisé dans l’extorsion, qui est à l’origine de l’opération.
En utilisant ce faux gestionnaire de mots de passe, les cybercriminels ont fait des ravages il y a quelques mois. Pour éviter les mauvaises surprises, il ne faut jamais télécharger un logiciel via un lien publicitaire, même si l’URL affichée semble correcte. Avant de passer à l’acte, rendez-vous toujours sur le site officiel en tapant manuellement son adresse dans la barre de recherche.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
