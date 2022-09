septembre 2022 par Paolo Passeri, Cyber Intelligence Specialist chez Netskope

« Cette campagne utilise un mode opératoire bien établi de la part des criminels opportunistes, à savoir l’exploitation d’événements à fort impact médiatique à des fins malveillantes, mais avec quelques variations intéressantes.

En effet, le regard sans précédent sur les zones éloignées de l’univers permis par le télescope James Webb a fait partie de l’actualité traitée par les principaux journaux du monde entier pendant des jours. Si, d’une part, cet événement a fourni un excellent point de départ aux cyber-attaquants pour lancer de nouvelles campagnes criminelles, d’autre part, la nature même des informations échangées (des images) leur a encore facilité la tâche. Elle a en effet permis l’utilisation de l’une des techniques de dissimulation les plus courantes, la stéganographie, qui tend à cacher des contenus malveillants dans les images. Une méthode couramment exploitée pour échapper à la fois aux contrôles de sécurité des solutions de protection du trafic mais également aux contrôles de sécurité de l’utilisateur qui, dans des conditions normales, ne s’attendrait pas à être infecté par un artefact apparemment inoffensif tel qu’une image. Un autre élément intéressant de cette campagne repose sur l’utilisation de logiciels malveillants écrits en Golang, un langage de plus en plus populaire parmi les attaquants, tant pour sa nature transversale au niveau de la plateforme que pour sa résistance au niveau de la rétro-ingénierie. Cette caractéristique rend ainsi difficile l’investigation par les analystes de sécurité.

Cette campagne présente une fois de plus le risque inhérent au concept de confiance numérique et ses implications dans le domaine de la sécurité. Les événements de ces dernières années, les confinements successifs et la croissance conséquente du travail à distance, ont modifié le concept de confiance des utilisateurs, qui se fient désormais davantage aux interactions digitales qu’aux interactions humaines. Tout cela a fini par abaisser le niveau de garde naturel des citoyens numériques, qui font confiance à tout contenu provenant d’internet, moteurs de recherche ou applications cloud légitimes, et ne sont plus habitués à vérifier minutieusement l’origine des informations.

Une vaste surface d’attaque et des opportunités trop belles que les cybercriminels n’ont pas tardé à monétiser. Ce n’est d’ailleurs pas un hasard si les techniques d’empoisonnement SEO (c’est-à-dire l’utilisation des algorithmes d’optimisation des moteurs de recherche pour placer des liens malveillants en tête des résultats) sont à nouveau tendance pour diffuser des logiciels et autres contenus malveillants. Aussi, rappeler l’importance d’un contrôle approfondi de la source des documents et des liens est d’une importance capitale dans le scénario de risque actuel. »