Le dernier rapport des équipes de recherche de Kaspersky met en lumière trois menaces largement plébiscitées par les hackers.
C’est de notoriété publique, les pirates et autres cybercriminelles redoublent d'imagination quand il s’agit de trouver des nouvelles techniques de compromission. Dans le dernier rapport tout juste publié par son équipe de recherche et d’analyse, Kaspersky alerte ainsi quant à trois nouvelles stratégies qui font fureur chez les acteurs malveillants. Identifiées par le GReAT, c’est le nom de l’équipe d’analyse susnommée, elles concernent la campagne FakeSG, le ransomware Akira et le désormais trop bien connu stealer visant macOS, AMOS.
FakeSG : des notifications pas digne de confiance
Le GReAT a ainsi débusqué FakeSG, une nouvelle campagne au cours de laquelle des sites web légitimes sont compromis pour afficher des notifications trompeuses de mise à jour du navigateur. En cliquant sur ces notifications, l’utilisateur déclenche le téléchargement d’un fichier contaminé, et malgré le changement d’URL, le chemin (/cdn/wds.min.php) reste constant. Une fois téléchargé, le fichier exécute des scripts cachés, invitant les internautes à mettre à jour leur navigateur, tout en établissant une persistance au moyen de tâches planifiées. Dans l’archive, un fichier de configuration malveillant divulgue l’adresse de commande et de contrôle (C2).
Akira, le cousin pas très éloigné de Conti fait des émules
Petit nouveau dans la très grande famille des ransomwares identifié au printemps dernier, Akira affecte à la fois les systèmes Windows et Linux, et a déjà frappé plus de 60 organisations dans le monde. D’après les équipes de Kasperky, le groupe derrière Akira a renforcé ses capacité à s’adapter à toutes les plateformes, amplifiant grandement sa surface d’attaque sur divers secteurs d’activité. Partageant des caractéristiques avec Conti, notamment une liste d’exclusion de dossiers identiques, Akira est doté d’un panneau de commande et de contrôle (C2) distinctif, au design minimaliste « à l’ancienne », qui le protège contre les tentatives d’analyse.
AMOS : gare au malvertising
Le stealer macOS AMOS, apparu en avril 2023 et initialement vendu pour 1 000 dollars par mois sur Telegram, a évolué de Go à C pour gagner en capacité de nuisance, notamment à travers le déploiement de publicité malveillante sur des sites de logiciels clonés. Ce stealer s’infiltre dans les systèmes macOS, récupère et compresse les données des utilisateurs pour les transmettre au serveur de commande et de contrôle, en utilisant un UUID unique pour l’identification. Cela reflète une tendance croissante des stealers spécifiquement conçus pour exploiter les vulnérabilités potentielles des systèmes macOS, ces derniers étant pourtant souvent associés aux plateformes Windows.