Des chercheurs en cybersécurité d’Acronis ont identifié une campagne de phishing qui exploite une nouvelle approche d’une technique d’attaque déjà bien connue. Cette méthode, baptisée FileFix, est utilisée pour installer le malware StealC, un infostealer, via des pages imitant le service de sécurité de Facebook.
Tout commence par un avertissement envoyé aux victimes, leur signalant que leur compte Facebook pourrait être suspendu pour violations des règles. Pour contester cette décision, elles sont redirigées vers un site de phishing qui ressemble à une page d’assistance officielle de Meta. Au lieu de demander de remplir un formulaire ou de passer un test CAPTCHA, le site leur demande de coller un chemin dans la barre d’adresse d’une fenêtre de téléversement de fichiers. Cette simple action exécute du code sur leur machine, déclenchant l’infection.
Une fois la commande exécutée, l’attaque se déroule en plusieurs étapes, débutant par des images hébergées sur Bitbucket contenant des scripts et des exécutables dissimulés grâce à la stéganographie. Cette technique permet aux attaquants de masquer le code à la vue de tous, faisant apparaître les fichiers comme inoffensifs jusqu’à leur exécution sur l’ordinateur de la victime.
Le produit final, selon le blog d’Acronis, est StealC, un malware conçu pour voler des identifiants, des données de navigation, des portefeuilles de cryptomonnaies et des tokens de compte issus d’applications de chat ou de cloud. Les chercheurs affirment qu’il peut également introduire d’autres malwares, offrant ainsi aux attaquants une flexibilité dès qu’ils ont accès.
Comparée à des exemples antérieurs de FileFix ou ClickFix, cette campagne démontre un niveau d’effort supérieur. Les pages de phishing incluent un support multilingue, de l’obfuscation, et du code superflu pour entraver l’analyse.
L’analyse des sites de phishing liés à cette campagne suggère que le ciblage ne se limite pas à une seule région. Des soumissions associées à ces attaques ont été détectées aux États-Unis, en Allemagne, au Bangladesh, aux Philippines et dans plusieurs autres pays. L’utilisation de plusieurs langues sur les pages de phishing renforce l’idée que la campagne vise un large éventail de victimes.
Les experts en sécurité soulignent que des incidents comme celui-ci mettent en avant l’importance de se préparer à des violations plutôt que de supposer qu’elles peuvent toutes être évitées. Louis Eichenbaum, CTO fédéral chez ColorTokens, souligne que les approches de type Zero Trust contribuent à limiter les actions d’un attaquant une fois qu’il a pénétré le réseau. “Supposez que l’adversaire franchisse les barrières de votre réseau,” conseille-t-il. “À partir de là, la question devient : que se passe-t-il ensuite ?”
Bien que FileFix soit encore une technique relativement récente, la campagne qui propage StealC semble active et en constante évolution. Par conséquent, les entreprises et les utilisateurs quotidiens doivent faire preuve de prudence face aux emails d’expéditeurs inconnus et éviter de cliquer sur des liens ou de suivre des instructions pour exécuter des scripts sur leurs dispositifs.
Points à retenir
- La campagne de phishing FileFix utilise des pages d’apparence légitime pour tromper les utilisateurs.
- La stéganographie permet aux attaquants de dissimuler du code dans des fichiers apparemment inoffensifs.
- Les utilisateurs doivent être vigilants face aux emails suspects et éviter de cliquer sur des liens douteux.
Cette situation met en lumière la nécessité d’une sensibilisation continue à la cybersécurité. Alors que la technologie évolue, les méthodes d’attaque deviennent de plus en plus sophistiquées. Que pensez-vous des mesures à mettre en place pour contrer ce type de menace ?