Des cybercriminels ciblent leurs victimes avec une campagne de phishing par mail. La pièce jointe du message comprend une photo des galaxies Smacs 0723 envoyée par le télescope James-Webb. Dans celle-ci se cache un malware.
au sommaire
En ce moment, les photos spectaculaires de l'universunivers prises par le télescope spatialtélescope spatial James-Webb attirent les regards et les cybercriminels l'ont bien compris. C'est ainsi qu'ils ont élaboré une campagne de phishing en utilisant comme vecteur les photos du télescope. C'est ce que les experts de la société de cybersécurité Securonix ont identifié et qu'ils ont baptisé Go#Webbfuscator.
« Go », car le code implanté dans l'image est écrit en Golang. Il s'agit d'un langage de programmation à la mode chez les pirates parce qu'il a l'avantage d'être difficile à identifier et il fonctionne sur à peu près tous les systèmes. La victime va recevoir un mail qui comprend une pièce jointe et un document .Word appelé Geos-RateRate.docx.
Un malware se cache dans l’image
Une fois le document ouvert avec l'éditeur de texte et si l'exécution automatique de macros est activée dans Word, le code malveillant est rapatrié tout en affichant dans le document la magnifique photo des galaxiesgalaxies Smacs 0723 publiée en juillet dernier. À partir de ce moment, le malware est connecté à son serveur chiffré.
Cette manœuvre ne serait alors qu'une première étape pour les pirates. La suite reste floue et les experts ignorent quel est l'objectif final de ces attaques. Il faut dire que la campagne a ciblé des victimes dans différents pays et que les charges utiles n'étaient pas toujours les mêmes.
Comme toujours, la présence d'un fichier Word en tant que pièce jointe accompagnant un mail incitant à l'ouvrir doit inspirer la plus grande méfiance. De même, alors que MicrosoftMicrosoft a bloqué par défaut l'exécution des macros pour les fichiers téléchargés, leur activation automatique par l'utilisateur reste une très mauvaise idée.