Table des matières
Les escroqueries par phishing continuent d’évoluer et la dernière escroquerie Malware as a Service (MaaS) ciblant les utilisateurs de Windows le prouve. Microsoft a pris des mesures, mais l’arnaque elle-même ne peut pas être arrêtée. Voici comment cela fonctionne et comment vous protéger.
Malware sophistiqué en tant que service (hameçonnage)
Une escroquerie de phishing typique consiste à envoyer un e-mail ou un SMS, à utiliser des fenêtres contextuelles ou à rediriger les utilisateurs vers un site Web faux mais légitime. Une nouvelle escroquerie de phishing repérée par les experts de Microsoft Defender utilise des applications fiables pour inciter les utilisateurs à installer des logiciels malveillants.
Habituellement, Windows bloque ce type de malware car il ne dispose pas d’un certificat de sécurité valide. Un certificat à validation étendue, ou certificat EV, aide à se protéger contre les escroqueries par phishing, garantissant aux utilisateurs qu’une marque ou une entreprise est digne de confiance.
Les escrocs ont décidé de créer une solution de contournement très sophistiquée. Ils ont d’abord créé une société écran appelée TrustConnect Software PTY LTD. Ils ont ensuite mélangé de l’IA pour générer une fausse identité commerciale, un site Web, des avis, des statistiques d’utilisation des clients, etc. Ensuite, ils ont demandé un certificat EV. Puisque tout semblait légitime, l’autorité de certification a approuvé l’achat du certificat.
Ainsi, les escrocs ont légalement acheté un certificat EV valide. Ils ne l’ont pas volé ni essayé de créer leur propre version. En le faisant légalement, Windows a immédiatement fait confiance au certificat lors de l’installation du malware.
Affichez le certificat d’une application dans Windows en cliquant avec le bouton droit sur le fichier exécutable de l’application et en accédant à Propriétés → Signatures numériques → Détails → Afficher le certificat.
Mais c’est encore pire. Je sais, comment est-ce possible ? TrustConnect Software PTY LTD s’est transformé en une véritable entreprise pour les entrepreneurs louches. Ils ont lancé un modèle commercial de malware en tant que service, vendant l’accès aux logiciels malveillants signés numériquement et à tout ce qui est nécessaire pour exécuter des attaques. Il suffit d’un petit paiement mensuel de 300 $ en crypto-monnaie et n’importe qui pourrait se lancer dans une escroquerie par phishing.
Les utilisateurs reçoivent des e-mails contenant des documents PDF, des invitations à des réunions et bien plus encore qui sont en réalité des liens malveillants. L’astuce est que les liens déclenchent un message de mise à jour de l’application, par exemple la nécessité de mettre à jour Adobe Acrobat pour lire le PDF ou de mettre à jour Zoom pour rejoindre une réunion. Cliquez sur Mettre à jour et vous obtenez une bonne dose de logiciels malveillants.
Les fichiers d’apparence légitime, tels que adobereader.exe, trustconnectagent.exe, msteams.exe, zomworkspace.clientsetup.exe et invite.exe, s’exécutent sans problème puisqu’ils sont signés numériquement avec un certificat EV valide.
Le malware crée même des dossiers dans Program Files et démarre avec Windows comme une application normale. Cela rend difficile la détection, même pour les utilisateurs les plus avertis en technologie.
Certificat révoqué, mais arnaque toujours en cours
J’aurais pensé que la révocation du certificat EV mettrait un terme au malware de TrustConnect en tant qu’arnaque de phishing de service. Il s’avère que j’avais tort. Cela empêche tout nouveau malware de recevoir un certificat EV avec cette entité particulière.
Pourtant, la révocation n’est pas antidatée. Ainsi, tout ce qui a déjà été émis est toujours valable. Windows considère toujours les logiciels malveillants de TrustConnect comme des applications légitimes.
Dans ce cas, vous êtes seul pour vous protéger. Actuellement, les utilisateurs professionnels sont les cibles les plus précieuses, mais cela ne signifie pas que les utilisateurs particuliers sont à l’abri.
Les experts en sécurité ont également découvert que les auteurs de la menace derrière TrustConnect travaillent déjà sur un nouveau malware appelé DocConnect qui fonctionne de la même manière.
Le formatage est la meilleure solution
Les experts ont découvert qu’en essayant de supprimer le malware, TrustConnect avait créé un malware encore plus sophistiqué qu’on ne le pensait initialement. Le malware installe plusieurs frameworks de surveillance et de gestion à distance (RMM) pour maintenir l’accès à distance aux machines affectées. La suppression d’un framework n’est qu’un début.
Si vous avez été concerné, je vous suggère de formater votre ordinateur. Cela garantit la suppression complète. Prenez également toutes les mesures nécessaires pour vous protéger après avoir été victime d’une arnaque.
Je sais que vous ne voulez perdre aucun fichier, alors sauvegardez-les d’abord. Ensuite, après avoir réinstallé Windows, analysez votre sauvegarde avec un outil antivirus avant de la déplacer à nouveau sur votre PC. La bonne nouvelle est que le malware se présente comme une application Windows, ce qui le rend moins susceptible de faire partie de vos documents, photos, etc.
Pour les entreprises, les administrateurs informatiques doivent empêcher tous les utilisateurs de mettre eux-mêmes à jour les applications.
Évitez de mettre à jour les applications via un lien
TrustConnect n’est pas le seul groupe à avoir essayé de fausses mises à jour d’applications pour installer des logiciels malveillants. Ils disposaient simplement d’un certificat valide pour le faire, ce qui rendait plus difficile la détection par Windows et les antivirus.
Arrêtez-vous immédiatement si vous cliquez sur un lien dans un message d’apparence légitime et êtes invité à mettre à jour une application. Ne procédez pas à la mise à jour.
Au lieu de cela, ouvrez vous-même l’application en question et mettez-la à jour manuellement depuis l’application. Recherchez dans les paramètres de l’application ou dans le menu d’aide les options de mise à jour. Si vous avez téléchargé l’application depuis le Microsoft Store, visitez le Microsoft Store pour mettre à jour.
Si aucune mise à jour n’est disponible, le lien est définitivement une arnaque.
Étant donné que le processus peut changer à tout moment et vous suggérer de télécharger de nouvelles applications, envisagez d’abord d’installer de nouvelles applications dans un bac à sable pour voir si elles sont sûres.
Devinez les liens inattendus
Les escroqueries par phishing ne vont pas disparaître. Le moyen le plus simple de vous protéger est de toujours deviner les liens inattendus. Il y a quelques jours, j’ai reçu un e-mail concernant la baisse de mon tarif d’assurance automobile grâce à une enquête. Tout dans l’e-mail semblait légitime, y compris l’e-mail de l’expéditeur. Certains e-mails de phishing sont cependant plus faciles à repérer.
Je me suis connecté directement sur le site de mon assureur plutôt que de cliquer sur le lien. Oui, c’était une arnaque par phishing.
Si vous n’êtes pas sûr, ne cliquez pas. Pour les messages liés au travail, quittez le message et envoyez un message à la personne qui est censée avoir envoyé le message suspect. Il vaut mieux vérifier que recevoir des logiciels malveillants. De plus, ne répondez jamais au message, car cela ne fait qu’interagir avec l’escroc, lui donnant ainsi une chance de convaincre que le message est réel.
De nouvelles escroqueries par phishing apparaissent chaque jour. Ils envahissent même les commentaires LinkedIn. Oui, les logiciels malveillants légitimes en tant que service constituent une nouvelle variante amusante, mais même ces escroqueries sont évitables.
