Des pirates informatiques ciblent les télétravailleurs qui souhaitent télécharger Zoom
La pandémie de coronavirus et les fermetures qui en ont résulté ont entraîné une augmentation du travail à distance, ce qui signifie que davantage de personnes utilisent des logiciels de vidéoconférence comme Zoom pour communiquer avec leurs collègues et leurs amis. Mais la nécessité de travailler à domicile est une chose dont les cybercriminels tentent de tirer profit. Les chercheurs de la société de cybersécurité TrendMicro ont découvert une nouvelle campagne de cybercriminalité qui tente d’exploiter les circonstances actuelles pour inciter les travailleurs à distance à installer le RevCode WebMonitor RAT.
Les chercheurs soulignent que le logiciel compromis ne provient pas du centre de téléchargement de Zoom ni d’aucun magasin d’applications officiel, mais que les téléchargements proviennent de sites web tiers malveillants. Il est probable que les victimes soient attirées vers les téléchargements infectés par des liens malveillants envoyés dans des e-mails de phishing et autres messages.
Une fois le fichier téléchargé, il exécute un installateur qui fournit le logiciel de vidéoconférence ainsi que l’outil d’accès à distance WebMonitor. L’installation de l’outil malveillant sur des systèmes Windows composés donne aux attaquants une porte dérobée qui permet d’observer à distance presque toutes les activités qui se déroulent sur la machine. Cela inclut l’enregistrement de frappe, l’enregistrement de flux de webcam et la prise de captures d’écran, toutes choses qui peuvent être utilisées pour voler des informations personnelles sensibles.
Le logiciel officiel de Zoom fonctionne désormais en version 5.0
Toutefois, WebMonitor se terminera de lui-même s’il est exécuté dans un environnement virtuel – une méthode de défense visant à empêcher la découverte et l’examen par les chercheurs en sécurité. La RAT est disponible sur les forums clandestins depuis la mi-2017, mais cet outil de base continue de faire ses preuves.
Dans ce cas, la façon dont il est fourni avec une version de Zoom est un moyen d’éviter les soupçons de l’utilisateur – s’il a installé le logiciel et qu’il n’a pas fonctionné, il peut soupçonner que quelque chose ne va pas.
Les sites malveillants proposent la version 4.6 de Zoom, mais le logiciel officiel de Zoom fonctionne désormais en version 5.0, de sorte que la version utilisée dans l’attaque est désormais obsolète.
L’intégration de logiciels malveillants dans un téléchargeur de logiciels légitimes est une tactique courante des cybercriminels et Zoom est loin d’être la seule application utilisée, même si les attaquants s’en servent de plus en plus en raison de sa popularité croissante ces derniers mois. La meilleure façon d’éviter d’être victime de ce genre d’attaque est de ne télécharger que les installateurs des sources officielles. Si on vous envoie un lien pour télécharger une application, il vaut mieux vous rendre sur le site officiel et la télécharger vous-même.
Source : ZDNet.com
