Ne cliquez pas sur ce lien WeTransfer, sous peine d’infecter votre ordinateur

Malware
(Crédit photo: Gonin / Shutterstock)

Si vous venez de recevoir un e-mail provenant d’un expéditeur inconnu, partageant un document intitulé "preuve de paiement" et à télécharger depuis WeTransfer, montrez-vous prudent car il s'agit très probablement d'un malware redoutable. 

Les chercheurs en cybersécurité de Cofense ont découvert que de nombreux groupes cybercriminels distribuent actuellement le malware Lampion en très grand volume, par le biais de ce procédé.

Lampion est un programme malveillant tristement connu, capable de voler des données sensibles, telles que des informations bancaires ou des mots de passe. Pour ce faire, il duplique un formulaire d’inscription standard et récupère les informations saisies par la victime, puis les transfère à des serveurs de commande et contrôle.

Un piège savamment pensé

Ce qui rend cette ultime campagne plus dangereuse que les précédentes, c'est l’usage non consenti de la marque WeTransfer. Il s'agit d'un service de transfert de fichiers légitime, ce qui rend extrêmement difficile pour les systèmes de sécurité internes à toute messagerie de le signaler comme malveillant. A noter qu’il ne s’agit pas de l’unique service légitime dont les escrocs abusent : ils exploitent également Amazon Web Services (AWS), et voici comment.

Lorsqu'une victime reçoit l'e-mail, et si elle télécharge le fichier, elle obtient une archive ZIP contenant un script VBS (Virtual Basic Script). Le script, s'il est exécuté, se connecte à une instance AWS et récupère deux fichiers DLL, également dans des archives ZIP protégées. Ces DLL, une fois activées (ce qui se fait automatiquement et sans aucune interaction de l'utilisateur), sont chargées en mémoire et permettent à Lampion de s’exécuter. 

Lampion est utilisé depuis 2019. D'abord sous la forme de malware ciblant la communauté hispanophone, il est depuis devenu international. Cette année, les chercheurs ont déclaré que sa distribution s'est accélérée, certains l’ayant identifié sous les noms d'hôtes Bazaar et LockBit. 

L'e-mail reste l'un des meilleurs supports pour diffuser des virus, des malwares ou des ransomwares. Ce même si les outils de protection des e-mails se sont améliorés au fil des ans. Aujourd'hui, les cybercriminels peuvent tirer parti d'un certain nombre d'outils gratuits dans le cloud, tels que les fournisseurs d'hébergement, pour contourner les mesures de sécurité et distribuer des codes malveillants à divers points d'extrémité autour du monde.

Via BleepingComputer

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.