Quand il s’agit de propager des logiciels malveillants, les cybercriminels ont plusieurs options pour livrer la charge utile. Ils peuvent mettre le malware en pièce-jointe d’un mail, ou inciter à cliquer sur un lien qui affichera une page contenant vers le fichier malveillant. Il existe également une autre technique appelée « Fake Downloader », qui consiste à inciter la victime à cliquer sur un lien la redirigeant en fait vers un site compromis pour télécharger un fichier malveillant, souvent sous l’apparence d’une mise à jour de logiciel ou d’un autre fichier bénin.

Tribune Proofpoint – En juin et juillet 2020, les chercheurs de Proofpoint ont observé plusieurs campagnes « Fake Downloader » à travers le monde, principalement en France, au Canada, en Allemagne, en Espagne, en Italie au Royaume-Uni et aux Etats-Unis.

Ces récentes campagnes semblent être le fait du groupe TA569, également connu sous le nom de SocGholish. Au cours d’une seule campagne menée depuis le début du mois de juillet, Proofpoint a observé près de 18 000 messages de cet acteur.

Ces campagnes comportaient des liens vers des sites web compromis avec des injections HTML SocGholish, qui analysent la géolocalisation de l’utilisateur, son système d’exploitation et son navigateur. Si l’environnement de l’utilisateur répond à des conditions spécifiques, il est dirigé vers une page de mise à jour du navigateur usurpé. Ces pages utilisent l’ingénierie sociale pour convaincre les victimes potentielles de prendre des mesures, comme par exemple cliquer sur un bouton, ce qui permet de télécharger un fichier JavaScript ou HTA.

Sherrod DeGrippo, Directrice de la Détection des Menaces au sein de Proofpoint commente : « Bien que cette technique ne soit pas nouvelle, elle est toujours efficace car elle exploite le désir du destinataire de pratiquer une bonne hygiène de sécurité. Maintenir un logiciel à jour est un conseil de sécurité courant, et cet acteur l’utilise à son avantage. Ces campagnes illustrent le fait que les tactiques des cybercriminels n’ont pas besoin d’être nouvelles pour être efficaces, même dans le paysage actuel des menaces qui évolue rapidement. »

Faire des mises à jour de son système d’exploitation et de ses logiciels est une bonne habitude à avoir. Mais la prudence doit s’imposer avant de cliquer : on ne fait des mises à jour que depuis le site de l’éditeur. Ainsi, si l’url pour la mise à jour ne correspond pas à celle de l’éditeur c’est que l’on a probablement affaire à un cas de Fake Downloader qui vise à compromettre son PC. Par exemple si on a www.maj-windows10.com c’est un faux, la bonne url sera plutôt de type www.microsoft.fr/…