Nom : Darkhotel. Nature : campagne de cyber-espionnage. Cible : les dirigeants d’entreprises et les cadres supérieurs lors de leurs voyages d’affaires. Particularité : ne frappe qu’une fois chaque victime.
Ainsi les experts de Kaspersky décrivent-ils cette menace persistante (APT, pour « Advanced Persistent Threat ») qui s’appuie sur la fragilité des réseaux Wi-Fi dans les hôtels… et que des pirates exploitent depuis au moins 2007 pour dérober des informations sensibles, notamment de la propriété intellectuelle.
Darkhotel sévit surtout dans la région Asie-Pacifique : le Japon, la Chine, la Corée du Sud et la Russie concentrent 90 % des infections recensées. Sur son tableau de chasse figurent des P-DG, des directeurs ventes/marketing ou encore des responsables R&D exerçant principalement dans les secteurs de la santé, de l’électronique, des cosmétiques, de l’automobile, de la défense et du capital-investissement.
Les pirates s’introduisent d’abord dans les réseaux Wi-Fi « privés et sécurité » des hôtels, avec une préférence pour les établissement de luxe. Lorsque leur cible se connecte, il lui est proposé de télécharger une mise à jour logicielle – pour la barre d’outils Google, le plugin Adobe Flash ou Windows Messenger – qui dissimule en fait un malware de type backdoor.
Cette porte dérobée utilise plusieurs failles dans Flash pour télécharger des outils plus élaborés comme un enregistreur de frappe et un cheval de Troie destiné à collecter des informations sur le système, tout particulièrement sur les éventuelles défenses antivirus. L’arsenal déployable à distance comprend aussi un outil conçu pour récupérer les mots de passe sauvegardés dans les principaux navigateurs Web (Firefox, Chrome, Internet Explorer) et sur des services en ligne populaires (Gmail, Twitter, Facebook, Yahoo, etc.).
L’analyse approfondie du code laisse supposer que les créateurs du malware, visiblement d’origine coréenne, nettoient systématiquement toute trace de leur passage après avoir commis leur forfait. Faisant preuve de compétences mathématiques et cryptoanalytiques qui leur permettent notamment d’usurper les signatures numériques de logiciels légitimes, ils restent parfois tapis très longtemps dans l’ombre avant de relancer une attaque sur un réseau donné.
Leurs assauts ciblés s’assortissent d’opérations plus globales à partir de botnets (réseaux d’ordinateurs « zombies ») exploités dans le cadre d’une surveillance de masse et facilitant la propagation du malware entre les différentes machines connectées à un même point d’accès. A cet égard, Kaspersky Lab recommande aux utilisateurs de passer par un fournisseur de réseau privé virtuel (VPN) pour sécuriser leurs communications électroniques. Il conviendra également de considérer les mises mises à jour logicielles comme suspectes en situation de déplacement et de vérifier que le programme d’update est signé par l’éditeur approprié.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit illustration : nobeastsofierce – Shutterstock.com
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
