Les hackers russes exploitent un outil Microsoft pour des attaques phishing
Selon une enquête menée par IBM, des hackers russes ont mené une vaste campagne de phishing sur les ordinateurs Windows entre novembre 2023 et février 2024. L’attaque repose sur l’exploitation d’un outil Microsoft intégré au système d’exploitation, dans le but de dérober des données personnelles.
Points clés
- Les hackers russes d’APT28, aussi connus sous le nom de Forest Blizzard ou Fancy Bear, ont mené une campagne de phishing sur les ordinateurs Windows entre novembre 2023 et février 2024.
- Les hackers se font passer pour des organisations gouvernementales et des ONG en provenance de plusieurs régions du monde, dont l’Europe.
- Les courriels frauduleux sont accompagnés d’un fichier PDF en pièce jointe, contenant des liens URL qui relaient vers des sites web malveillants.
- Les sites exploitent les gestionnaires de protocole URI « search-ms: » et le protocole d’application « search: » intégrés à Windows pour déployer des logiciels malveillants.
- Les hackers se servent des gestionnaires pour demander à la cible de télécharger un autre fichier PDF sur leur ordinateur, qui cache un malware.
- Les malwares utilisés comprennent Masepie, Oceanmap et Steelhook.
- Les hackers se servent parfois de véritables documents officiels émis par des entités gouvernementales pour endormir la méfiance des cibles.
A retenir
Les hackers n’hésitent pas à exploiter des outils intégrés au système d’exploitation pour mener des attaques de phishing sophistiquées. Il est donc important de rester vigilant face aux courriels frauduleux, même s’ils semblent provenir d’organisations fiables. Les hackers peuvent utiliser des documents officiels pour endormir la méfiance des cibles, il est donc important de ne jamais cliquer sur des liens ou télécharger des fichiers provenant de sources inconnues ou suspectes.
