Certains attaquants utilisent les services de réunion en ligne comme appât pour les logiciels malveillants. Les chercheurs de Zscaler ont découvert de faux sites Web Skype, Zoom et Google Meet utilisés par des acteurs malveillants pour propager des chevaux de Troie d'accès à distance (RAT en abrégé).
L'équipe ThreatLabZ de Zscaler met en garde contre les faux sites de réunion en ligne qui diffusent diverses familles de malwares. Début décembre 2023 déjà, les chercheurs ont découvert un acteur malveillant qui créait de faux sites Web Skype, Google Meet et Zoom pour propager des logiciels malveillants afin de propager des chevaux de Troie d'accès à distance tels que SpyNote RAT aux utilisateurs d'Android et NjRAT et DCRat aux utilisateurs de Windows. Ces pages continuent d'apparaître dans de nouvelles versions.
🔎 La chaîne d'attaque et le flux d'exécution des campagnes Android et Windows (Image : Zscaler).
Des adresses Web trompeusement réelles comme piège
L'auteur du malware a utilisé un hébergement Web partagé et a hébergé tous les faux sites Web pour les réunions en ligne sur une seule adresse IP. Les URL des faux sites Web étaient très similaires aux vrais, de sorte que les faux ne peuvent pas être reconnus d’un seul coup d’œil. Lorsqu'un utilisateur visite l'un des faux sites Web, cliquer sur le bouton Android lancera le téléchargement d'un fichier APK malveillant. Un clic sur le bouton Windows correspondant déclenche cependant le téléchargement d'un fichier BAT. Une fois exécuté, le fichier BAT fournit des actions supplémentaires qui aboutissent finalement au téléchargement d'une charge utile RAT.
Faux sites Web avec Skype
Au cours de leur enquête, des chercheurs en sécurité ont découvert que le premier faux site Web, désormais bloqué, « join-skype[.]info », avait été créé début décembre pour inciter les utilisateurs à télécharger une fausse application Skype.
Le bouton Windows pointait vers un fichier appelé « Skype8.exe » et le bouton Google Play pointait vers « Skype.apk ». Le bouton Apple App Store a uniquement redirigé vers la page Skype d'origine pour iOS, indiquant que l'acteur malveillant n'a pas ciblé les utilisateurs iOS avec son malware.
Pages de réunion incorrectes pour Google Meet et Zoom
Fin décembre, l’attaquant a créé un autre faux site Web imitant Google Meet. La fausse page Google Meet a été hébergée avec le sous-chemin « gry-ucdu-fhc » visible. Il a été créé intentionnellement pour ressembler à un lien de participation à Google Meet. Les experts ont également trouvé une fausse page Zoom pour Zoom fin janvier 2024. Leur URL contenait un sous-chemin très similaire à un identifiant de réunion généré par le client Zoom.
RAT – Les chevaux de Troie d'accès à distance étaient prêts
Les acteurs malveillants ciblent les entreprises avec cette campagne et utilisent des services de réunion en ligne bien connus et populaires comme appât pour diffuser des RAT pour Android et Windows. Ces chevaux de Troie d'accès à distance sont capables de voler des informations confidentielles, d'enregistrer des frappes au clavier ou de siphonner des fichiers.
Ces résultats soulignent la nécessité de mesures de sécurité robustes pour se protéger contre l’évolution des menaces, ainsi que l’importance de mises à jour et de correctifs de sécurité réguliers. Le Zscaler Cloud Sandbox reconnaît les échantillons par leur comportement et fait référence aux techniques MITRE ATT&ACK spécifiques qui sont déclenchées lors de l'analyse.
Plus sur ZScaler.com
À propos de Zscaler Zscaler accélère la transformation numérique afin que les clients puissent devenir plus agiles, efficaces, résilients et sécurisés. Zscaler Zero Trust Exchange protège des milliers de clients contre les cyberattaques et la perte de données en connectant en toute sécurité les personnes, les appareils et les applications partout. Le Zero Trust Exchange basé sur SSE est la plus grande plate-forme de sécurité cloud en ligne au monde, distribuée dans plus de 150 centres de données à travers le monde.