Face à l’évolution constante des arnaques par hameçonnage, l’émergence des logiciels malveillants en tant que service (MaaS) ciblant spécifiquement les utilisateurs de Windows illustre cette tendance. Bien que Microsoft ait pris des mesures pour contrer ces menaces, l’escroquerie sous-jacente reste active. Voici une analyse détaillée du fonctionnement de cette arnaque sophistiquée et des mesures que vous pouvez prendre pour vous en protéger.
Comprendre l’escroquerie par hameçonnage « Malware as a Service »
Les arnaques par hameçonnage utilisent généralement des courriels, des SMS, des fenêtres contextuelles ou des sites web trompeurs pour duper les utilisateurs. Une stratégie récemment identifiée par les experts de Microsoft Defender consiste à utiliser des applications de confiance pour inciter les utilisateurs à installer des logiciels malveillants, ce qui complique la détection.
Dans la plupart des cas, Windows est capable de bloquer ces logiciels malveillants en raison de l’absence de certificat de sécurité valide. Un certificat à validation étendue (EV) joue alors un rôle crucial, garantissant aux utilisateurs la légitimité d’une marque et les protégeant des tentatives d’hameçonnage. Cependant, les escrocs ont mis au point une astuce ingénieuse pour contourner ce système.
Ils ont créé une façade de légitimité en érigeant TrustConnect Software PTY LTD, une société fictive. Grâce à l’intelligence artificielle, ils ont fabriqué une identité commerciale complète, incluant un site web, des avis positifs et des données clients. En obtenant un certificat EV, ils ont rendu leur logiciel malveillant crédible aux yeux des utilisateurs et des systèmes.
Cela signifie que les fraudeurs ont obtenu légalement un certificat EV valide, sans recourir au vol ni à la falsification. Par conséquent, tout logiciel malveillant qu’ils distribuent est immédiatement reconnu comme légitime par Windows.
Pour vérifier le certificat d’une application sous Windows, il suffit de cliquer avec le bouton droit sur le fichier exécutable et d’accéder à Propriétés → Signatures numériques → Détails → Afficher le certificat.
La situation s’aggrave encore lorsque TrustConnect se transforme en une entreprise légitime, s’adressant à des entrepreneurs peu scrupuleux. Ils ont adopté un modèle commercial de MaaS, proposant des abonnements à partir de 300 dollars par mois en cryptomonnaie pour permettre à des tiers de mener des attaques de phishing.
Les utilisateurs sont ciblés par des courriels contenant des fichiers PDF, des invitations à des réunions et d’autres contenus apparemment inoffensifs qui dissimulent des liens malveillants. Ces liens incitent souvent les utilisateurs à « mettre à jour » des applications comme Adobe Acrobat ou Zoom. Une fois piégés, les utilisateurs cliquent sur « Mettre à jour » et installent ainsi, à leur insu, un logiciel malveillant.
Les fichiers exécutables courants, tels que adobereader.exe`.exe`, trustconnectagent.exe` msteams.exe.exe`, `.exe` zoomworkspace.clientsetup.exe, `.exe` et `.exe`, invite.exes’exécutent sans problème et sans éveiller les soupçons, car ils possèdent des signatures EV valides. Le logiciel malveillant crée ainsi des dossiers dans `Program Files` et se lance au démarrage, comme n’importe quelle application, ce qui complique sa détection, même pour les utilisateurs les plus avertis.
Révocation du certificat de véhicule électrique : une solution limitée
On pourrait croire que la révocation du certificat EV suffirait à démanteler l’opération d’hameçonnage de TrustConnect, mais la réalité est plus complexe. Si cette mesure empêche tout nouveau logiciel malveillant d’acquérir un certificat EV, elle n’invalide pas rétroactivement les certificats précédemment délivrés.
Par conséquent, tout logiciel malveillant précédemment certifié continue d’être considéré comme légitime par Windows. Les utilisateurs doivent donc prendre des mesures proactives pour se protéger. Bien que les entreprises soient des cibles privilégiées, les particuliers ne doivent pas se croire à l’abri.
De plus, les spécialistes de la sécurité ont identifié que les auteurs de TrustConnect développent déjà une autre variante de logiciel malveillant nommée DocConnect, qui emploie des tactiques similaires.
Mise en forme : une approche recommandée
Les recherches indiquent que les tentatives d’élimination du logiciel malveillant révèlent des couches de protection encore plus sophistiquées que prévu. Le logiciel malveillant de TrustConnect installe divers systèmes de surveillance et de gestion à distance (RMM) afin de maintenir un accès continu aux systèmes compromis. Par conséquent, la suppression d’un seul système ne représente qu’une infime partie du travail nécessaire.
Pour les personnes concernées, le formatage de l’ordinateur représente la solution la plus efficace pour éliminer complètement le logiciel malveillant. Il est essentiel de sauvegarder vos fichiers au préalable ; une fois Windows réinstallé, effectuez une analyse antivirus approfondie de vos sauvegardes avant de les restaurer. Heureusement, comme le logiciel malveillant se fait passer pour une application Windows, il est peu probable qu’il soit lié à vos documents ou photos.
En environnement professionnel, il est conseillé aux administrateurs informatiques d’interdire aux utilisateurs d’effectuer des mises à jour logicielles de manière autonome.
Attention concernant les mises à jour d’applications provenant de liens
TrustConnect n’est pas la seule entreprise à utiliser de fausses mises à jour d’applications pour installer des logiciels malveillants. Son principal avantage résidait dans un certificat valide, ce qui compliquait la détection de ses activités par les solutions de sécurité.
Si vous cliquez sur un lien provenant d’une source apparemment fiable qui vous invite à mettre à jour une application, arrêtez immédiatement. N’effectuez pas la mise à jour.
Ouvrez plutôt l’application séparément et recherchez les mises à jour via ses paramètres ou son menu d’aide. Pour les applications téléchargées initialement depuis le Microsoft Store, les mises à jour doivent également être obtenues directement depuis le Store.
Si aucune mise à jour n’est disponible, vous pouvez être certain que le lien que vous avez trouvé est malveillant.Étant donné que les processus peuvent évoluer fréquemment, il est conseillé d’installer les nouvelles applications dans un environnement isolé (sandbox) afin d’évaluer leur sécurité avant de les intégrer pleinement.
Pensée critique pour des liens inattendus
La fréquence des arnaques par hameçonnage ne devrait pas diminuer. L’une des mesures de protection les plus efficaces consiste à se méfier des liens suspects avant de cliquer dessus. Récemment, j’ai reçu un courriel qui semblait proposer un sondage sur les tarifs d’assurance auto. Malgré l’authenticité de l’expéditeur, j’ai préféré me rendre directement sur le site web de mon assureur plutôt que de cliquer sur le lien. Il s’agissait en fait d’une tentative d’hameçonnage.
En cas de doute sur la légitimité d’un lien, ne cliquez pas. Pour toute communication professionnelle, contactez directement l’expéditeur présumé afin de vérifier. Privilégiez la sécurité à la curiosité et évitez de répondre aux messages : cela ne fait qu’alimenter la conversation avec l’escroc et accroître les risques.
Face à l’apparition quotidienne de nouvelles techniques d’hameçonnage, qui infiltrent même des plateformes comme LinkedIn, il est essentiel de rester informé et vigilant. Si les logiciels malveillants en tant que service (MaaS) ajoutent une nouvelle dimension à la complexité du problème, la vigilance et la prudence permettent aux utilisateurs de déjouer ces escroqueries.
Articles connexes:
Pourquoi je suis passé de Claude Code à Codex et pourquoi je regrette de ne pas l’avoir fait plus tôt
9:33
Comprendre NVIDIA DLSS : Explication de la mise à l’échelle et des solutions alternatives
9:31
Comprendre l’émulation : principaux avantages, inconvénients et perspectives supplémentaires
9:29
Laisser un commentaire