Alerte de l’OFCS

Des escrocs diffusent des malwares en Suisse via de fausses mises à jour de Zoom

par Andreas Huber (traduction/adaptation ICTjournal)

L’Office fédéral de la cybersécurité (OFCS) met en garde contre une campagne de cyberattaques utilisant de faux téléchargements pour Zoom. Les escrocs invitent leurs victimes à de prétendues réunions en ligne avant de les inciter à installer une fausse mise à jour qui déploie un logiciel malveillant.

(Source: Rawpixel.com / Magnific.com)
(Source: Rawpixel.com / Magnific.com)

L’Office fédéral de la cybersécurité (OFCS) met en garde contre une nouvelle campagne exploitant de fausses mises à jour pour les  plateformes de visioconférence telles que Zoom. Les cybercriminels incitent leurs victimes à télécharger ce qui semble être une mise à jour indispensable. En réalité, elles installent un logiciel malveillant.

Une fois installé, ce malware permet aux attaquants de prendre le contrôle à distance de l’appareil compromis. Ils peuvent alors dérober des données sensibles, télécharger d’autres logiciels malveillants ou encore déployer un rançongiciel au sein du réseau de l’entreprise. L’OFCS ajoute que des attaques similaires usurpant l’apparence de Microsoft Teams et Google Meet ont également été observées à l’étranger.

 

La prétendue mise à jour de Zoom installe un logiciel malveillant. (Source: DR)
La prétendue mise à jour de Zoom installe un logiciel malveillant. (Source: DR)

Deux variantes d’une même attaque

L’OFCS décrit deux cas signalés. Dans le premier, un prétendu candidat à la location d’un logement contacte un propriétaire via un portail immobilier et lui propose de poursuivre les échanges lors d’une réunion Zoom. Après l’envoi d’un lien d’invitation, le faux locataire affirme que celui-ci ne fonctionne pas et transmet un autre lien menant vers un site imitant parfaitement celui de Zoom.

Une fenêtre pop-up y invite alors la victime à installer une mise à jour présentée comme urgente. Selon l’OFCS, cette fenêtre repose sur une technique dite «Browser-in-the-Browser», qui simule une véritable fenêtre de navigateur et affiche même une fausse barre d’adresse. Le site redirige ensuite l’utilisateur vers une page imitant le Microsoft Store afin de rendre le téléchargement plus crédible. En installant le prétendu correctif, la victime déploie en réalité le logiciel malveillant.

Dans le second cas, la victime reçoit une invitation à une réunion Zoom à son adresse e-mail professionnelle. Après avoir cliqué sur le lien, elle est invitée à installer une mise à jour avant de pouvoir rejoindre la réunion. Là encore, le téléchargement installe un logiciel malveillant.

L’OFCS précise que le fichier utilisé dans cette attaque était signé à l’aide d’un certificat numérique valide, ce qui lui permettait de contourner certains mécanismes de sécurité fondés sur la vérification des signatures.
Selon l’autorité, cette méthode fonctionne notamment parce que les utilisateurs sont souvent pressés avant une visioconférence et jugent crédible la demande d’une mise à jour de dernière minute. La technique «Browser-in-the-Browser» complique en outre la détection de la fraude, car la barre d’adresse affichée fait partie de la page web frauduleuse.

L’Office fédéral de la cybersécurité recommande notamment de n’ouvrir des invitations à des réunions que lorsqu’elles sont attendues et que l’expéditeur est clairement identifié. Elle préconise également de rejoindre les visioconférences directement depuis l’application installée plutôt qu’à partir d’un lien reçu par e-mail et de télécharger les mises à jour de Zoom, Microsoft Teams ou Google Meet uniquement depuis l’application officielle ou le site de l’éditeur.

L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi! 

Webcode
R4JFTrWh