Voici une raison supplémentaire d’être particulièrement prudent lorsque vous ouvrez une pièce jointe à un courriel.
Une nouvelle campagne de piratage de Gmail fait actuellement le tour du monde, et il suffit d’un seul clic pour infecter votre ordinateur et mettre vos données en danger.
Soyez prudent à ce piratage de Gmail en un seul clic
Au cours de la semaine dernière, Diana Lopera, chercheuse principale en sécurité chez Trustwave, a publié un article de blog sur une nouvelle campagne effrayante de piratage d’e-mails.
Selon Mme Lopera, les escrocs joignent sournoisement des fichiers malveillants aux courriels en utilisant des formats de fichiers qui ne susciteraient normalement aucun soupçon. Ils utilisent cette technique pour diffuser le logiciel malveillant Vidar, qui dérobe des données.
Le logiciel malveillant Vidar est caché dans une pièce jointe d’un courriel. Source de l’image : Trustwave
Les courriels sont courts et attirent l’attention du lecteur sur la pièce jointe. La pièce jointe en question est nommée “request.doc”, mais il s’agit en réalité d’un fichier ISO. Comme l’explique Lopera, ISO est un format de fichier d’image disque que les cybercriminels utilisent occasionnellement pour stocker des logiciels malveillants.
Il peut ressembler à un document texte, mais l’ISO contient en fait deux fichiers. L’un est un fichier Microsoft Compiled HTML Help (CHM) nommé “pss10r.chm” et l’autre est un exécutable nommé “app.exe ».
Lorsque vous extrayez le contenu de request.doc et que vous exécutez l’un ou l’autre des fichiers, les attaquants peuvent accéder à votre appareil et commencer à voler vos données privées.
Quel est le principe de fonctionnement ?
Le fichier CHM est un format de fichier d’aide propriétaire que Microsoft utilise pour la documentation de ses logiciels. Si vous exécutez le fichier CHM, Microsoft Help Viewer chargera l’objet principal du fichier.
Cela semble peu dangereux et ne l’est généralement pas. Le problème est que ce fichier particulier contient un code caché qui peut exécuter le fichier app.exe sans que vous le sachiez. Si le fichier CHM et l’exécutable se trouvent dans le même répertoire, vous rencontrez des difficultés.
Comme Trustwave l’explique, Vidar récolte potentiellement des informations et des données système à partir d’un large éventail de navigateurs et d’applications.
Une fois qu’il commence à fonctionner, le logiciel malveillant Vidar se connecte aux serveurs de commande et de contrôle du réseau social open-source Mastodon. Il commence alors à voler des données, et lorsqu’il a terminé, il peut supprimer les fichiers qu’il a créés.
Fort heureusement, il est relativement facile d’éviter cette campagne de piratage de Gmail. Comme vous le savez sans doute déjà, n’ouvrez jamais une pièce jointe provenant d’une source que vous ne reconnaissez pas.
En réalité, même si vous reconnaissez l’expéditeur, vérifiez d’abord tout. Il existe de nombreuses arnaques qui consistent à utiliser des adresses similaires pour convaincre les victimes de leur légitimité.
