Nom : Darkhotel. Nature : campagne de cyber-espionnage. Cible : les dirigeants d’entreprises et les cadres supérieurs lors de leurs voyages d’affaires. Particularité : ne frappe qu’une fois chaque victime.
Ainsi les experts de Kaspersky décrivent-ils cette menace persistante (APT, pour « Advanced Persistent Threat ») qui s’appuie sur la fragilité des réseaux Wi-Fi dans les hôtels… et que des pirates exploitent depuis au moins 2007 pour dérober des informations sensibles, notamment de la propriété intellectuelle.
Darkhotel sévit surtout dans la région Asie-Pacifique : le Japon, la Chine, la Corée du Sud et la Russie concentrent 90 % des infections recensées. Sur son tableau de chasse figurent des P-DG, des directeurs ventes/marketing ou encore des responsables R&D exerçant principalement dans les secteurs de la santé, de l’électronique, des cosmétiques, de l’automobile, de la défense et du capital-investissement.
Les pirates s’introduisent d’abord dans les réseaux Wi-Fi « privés et sécurité » des hôtels, avec une préférence pour les établissement de luxe. Lorsque leur cible se connecte, il lui est proposé de télécharger une mise à jour logicielle – pour la barre d’outils Google, le plugin Adobe Flash ou Windows Messenger – qui dissimule en fait un malware de type backdoor.
Cette porte dérobée utilise plusieurs failles dans Flash pour télécharger des outils plus élaborés comme un enregistreur de frappe et un cheval de Troie destiné à collecter des informations sur le système, tout particulièrement sur les éventuelles défenses antivirus. L’arsenal déployable à distance comprend aussi un outil conçu pour récupérer les mots de passe sauvegardés dans les principaux navigateurs Web (Firefox, Chrome, Internet Explorer) et sur des services en ligne populaires (Gmail, Twitter, Facebook, Yahoo, etc.).
L’analyse approfondie du code laisse supposer que les créateurs du malware, visiblement d’origine coréenne, nettoient systématiquement toute trace de leur passage après avoir commis leur forfait. Faisant preuve de compétences mathématiques et cryptoanalytiques qui leur permettent notamment d’usurper les signatures numériques de logiciels légitimes, ils restent parfois tapis très longtemps dans l’ombre avant de relancer une attaque sur un réseau donné.
Leurs assauts ciblés s’assortissent d’opérations plus globales à partir de botnets (réseaux d’ordinateurs « zombies ») exploités dans le cadre d’une surveillance de masse et facilitant la propagation du malware entre les différentes machines connectées à un même point d’accès. A cet égard, Kaspersky Lab recommande aux utilisateurs de passer par un fournisseur de réseau privé virtuel (VPN) pour sécuriser leurs communications électroniques. Il conviendra également de considérer les mises mises à jour logicielles comme suspectes en situation de déplacement et de vérifier que le programme d’update est signé par l’éditeur approprié.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit illustration : nobeastsofierce – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…