Des hackers parrainés par l’État chinois peuvent se faire passer pour un fournisseur d’antivirus McAfee afin d’inciter des cibles de premier plan à télécharger des logiciels malveillants.
Le groupe de piratage chinois présumé, APT 31, a eu recours à cette tactique, selon l’équipe de sécurité de Google. En juin, les chercheurs en sécurité de l’entreprise signalé qu’APT 31 ciblait la campagne présidentielle de Joe Biden en envoyant des e-mails de phishing à son personnel. L’objectif était de détourner leurs comptes de messagerie personnels, mais Google affirme que les tentatives de phishing semblent toutes avoir échoué.
Vendredi, l’entreprise à condition de une mise à jour sur les activités de l’APT 31. L’équipe de sécurité de Google a repéré les pirates envoyant des liens par courrier électronique conçus pour finalement télécharger des logiciels malveillants hébergés sur Github, la plate-forme de développement de logiciels.
Plus précisément, la fenêtre malware est construit en utilisant le langage informatique Python. Le pirate informatique peut alors contrôler le code malveillant à l’aide du service de stockage cloud gratuit Dropbox.
«(Le malware) permettrait à l’attaquant de télécharger et de télécharger des fichiers ainsi que d’exécuter des commandes arbitraires», a écrit Shane Huntley, chercheur en sécurité chez Google, dans le billet de blog. «Chaque élément malveillant de cette attaque était hébergé sur des services légitimes, ce qui rend plus difficile pour les défenseurs de se fier aux signaux du réseau pour la détection.»
(Crédit: Google)
Huntley a ensuite déclaré qu’une technique de phishing d’APT 31 impliquait de se faire passer pour le fournisseur d’antivirus McAfee. «Les cibles seraient invitées à installer une version légitime du logiciel antivirus McAfee à partir de GitHub, tandis que les logiciels malveillants étaient simultanément installés silencieusement sur le système», a-t-il déclaré.
Se faire passer pour McAfee est assez sournois étant donné que la société est un nom bien connu dans le domaine de la cybersécurité. Mais la tactique n’est pas surprenante non plus. Les hackers parrainés par l’État sont souvent faire semblant être de grands fournisseurs Internet et de logiciels afin d’inciter les victimes à ouvrir leurs e-mails de phishing.
Cependant, Google a des anti-hameçonnage garanties en place pour filtrer les attaques malveillantes. Dans le cas où l’entreprise détecte un groupe de piratage public ciblant un utilisateur, elle enverra également un avertissement à propos de la tentative d’hameçonnage et expliquez qu’un gouvernement étranger peut être derrière.
Selon Huntley, Google a partagé ses conclusions sur les attaques parrainées par APT 31 avec le FBI. Le mois dernier, Microsoft a également signalé le même groupe de hackers chinois s’attaquant à la campagne Biden et au moins un individu anciennement associé à l’administration Trump. Les autres cibles comprennent les fonctionnaires, les universitaires et les organisations impliquées dans les affaires internationales.
« Nous avons détecté des milliers d’attaques au zirconium (APT 31) entre mars 2020 et septembre 2020, ce qui a abouti à près de 150 compromis », a déclaré Microsoft à l’époque sans donner plus de détails.
