Une nouvelle campagne massive de phishing sur le thème du Covid-19 installerait l'outil d'administration à distance NetSupport Manager pour prendre complètement le contrôle de votre système d'exploitation et même exécuter des commandes sur celui-ci.
L'équipe de Microsoft Security Intelligence a fourni sur Twitter de plus amples détails sur cette campagne en cours. Elle affirme que les cybercriminels, responsables de cette opération, utilisent des pièces jointes Excel malveillantes pour infecter les appareils informatiques avec un cheval de Troie d'accès à distance (RAT).
- Plusieurs milliers de comptes Gmail attaqués depuis le début des mesures sanitaires
- Cette extension Chrome protège-t-elle contre toutes les menaces en ligne ?
- Une fraude financière en ligne détectée toutes les deux minutes
Les courriels incriminés sont envoyés par des centre hospitaliers factices et prétendent fournir à leurs destinataires des informations liées aux décès recensées dans votre département, voire dans votre ville. Un fichier Excel est joint et affiche un tableau indiquant effectivement le nombre total - et non local - de décès causés par l’épidémie de coronavirus. Lorsqu'un utilisateur ouvre le fichier Excel, il est invité à « Activer le contenu » et exécute ainsi les macros malveillantes du document. Dès lors, la victime potentielle télécharge et installe le client NetSupport Manager à partir d'un site distant.
Une application tout à fait légitime
Microsoft Security Intelligence explicite le mode opératoire des hackers ci-dessous :
« Les centaines de fichiers Excel uniques, envoyés durant utilisés dans cette campagne, utilisent des formules très obscures. Mais tous se connectent à la même URL pour télécharger la charge utile. NetSupport Manager est un outil très pratique pour les pirates informatiques, permettant d’accéder à distance et d’exécuter des commandes sur des machines compromises ».
Bien que NetSupport Manager soit en réalité un logiciel d'administration à distance légitime, il est couramment distribué au sein des communautés de hacking qui le détournent pour en faire un RAT. Une fois qu'un utilisateur installe sans le savoir NetSupport Manager sur son ordinateur, il permet aux pirates d'obtenir un contrôle total sur la machine infectée. Le RAT NetSupport Manager est ensuite utilisé pour compromettre davantage l'ordinateur en installant des outils et des scripts supplémentaires.
Les victimes de cette campagne de phishing doivent partir du principe que leurs données ont été subtilisées et que les pirates ont tenté de voler leurs mots de passe. Une fois que le dispositif infecté a été nettoyé, les utilisateurs doivent changer tous leurs mots de passe ainsi que ceux des autres ordinateurs de leur réseau.
Via BleepingComputer
