Fin 2019, nos experts ont utilisé la méthode de l’attaque par « point d’eau » pour révéler une attaque ciblée. Les cybercriminels n’ont pas eu besoin de déployer des techniques sophistiquées, ou d’exploiter une vulnérabilité, pour infecter pendant au moins huit mois les dispositifs des utilisateurs qui se trouvaient en Asie. Tous les sites Internet utilisés pour propager le malware abordaient le même sujet et c’est pourquoi cette attaque a été baptisée Holy Water (eau bénite). Il s’agit de la seconde attaque de ce type que nous avons détectée ces derniers mois. Cliquez ici pour en savoir plus sur l’autre découverte faite par nos chercheurs.
Comment la campagne Holy Water infecte-t-elle les dispositifs de l’utilisateur ?
Il semblerait que les pirates informatiques aient, à un moment donné, mis en danger le serveur qui héberge plusieurs pages Web de personnalités religieuses et d’organismes publics et caritatifs. Les cybercriminels ont intégré des scripts malveillants dans le code de ces pages puis ils les utilisaient pour perpétrer les attaques.
Lorsque l’utilisateur visitait une page infectée, les scripts exploitaient des outils parfaitement légitimes pour obtenir des renseignements et les faire suivre à un serveur tiers pour les valider. Nous ne savons pas combien de victimes ont été sélectionnées mais, en réponse aux informations reçues, si la cible était prometteuse, le serveur envoyait un ordre pour maintenir l’attaque.
L’étape suivante avait recours à une astuce assez courante de nos jours (utilisée depuis plus d’une décennie) : on demandait à l’utilisateur de mettre à jour Adobe Flash Player en prétextant que la version actuelle du programme était soi-disant périmée et vulnérable. Si la victime acceptait, alors elle téléchargeait et installait sur son ordinateur la porte dérobée Godlike12, et non la mise à jour promise.
Dangers de Godlike12
Les têtes pensantes de cette attaque utilisaient activement certains services légitimes pour établir le profil des victimes et pour stocker le code malveillant (la porte dérobée était mentionnée sur GitHub). Les communications avec les serveurs du centre de commandes (C&C) passaient par Google Drive.
La porte dérobée a déposé un identifiant dans la solution de stockage Google Drive et a régulièrement passé des appels pour vérifier qu’elle recevait bien les ordres des cybercriminels. Les résultats de l’exécution de ces actions étaient aussi téléchargés à cet endroit. Selon nos experts, il s’agissait d’une attaque de reconnaissance qui cherchait à obtenir les données des dispositifs infectés.
Si vous souhaitez obtenir plus de détails techniques et en savoir plus sur les outils utilisés, nous vous invitons à lire l’article au sujet de Holy Water publié sur Securelist. Vous y trouvez également les indicateurs de compromission.
Comment se protéger
Pour le moment, l’attaque Holy Water n’a été détectée qu’en Asie. Pourtant, les outils utilisés par cette campagne sont assez simples et peuvent être déployés assez facilement dans n’importe quel pays. Nous recommandons donc à tous les utilisateurs de prendre ces recommandations au sérieux, quel que soit l’endroit où ils se trouvent.
Nous ne sommes pas en mesure de dire si l’attaque s’en prend à certaines personnes ou organisations en particulier. Une chose est sûre : n’importe qui peut visiter les sites infectés à partir d’un dispositif personnel ou professionnel. Nous vous conseillons fortement de protéger tous les dispositifs ayant accès à Internet. Nous proposons des solutions de sécurité pour les ordinateurs personnels et professionnels. Nos produits détectent et bloquent tous les outils et techniques utilisés par les créateurs de la campagne Holy Water.