Une campagne malveillante avancée se propage d’est en ouest
Kaspersky a découvert qu'une campagne malveillante baptisée Roaming Mantis, qui ciblait surtout des régions asiatiques jusqu'à présent, se propage en Allemagne et en France via un smishing actif (une attaque basée sur des SMS de phishing visant à rediriger les utilisateurs vers du contenu frauduleux). Le groupe de hackers qui l’a lancée diffuse des malwares et des pages de phishing sur mobile pour recueillir les informations privées des cibles et leur voler leur argent. L'appareil infecté envoie ensuite des messages de smishing aux cibles suivantes, en exploitant notamment la liste de contacts de l'utilisateur.
Les chercheurs de Kaspersky ont détecté Roaming Mantis pour la première fois en avril 2018. À l'époque, les cybercriminels impliqués ne ciblaient que les smartphones Android, principalement en Asie (Corée du Sud, Bangladesh et Japon). Mais cette campagne a considérablement évolué en peu de temps. Depuis 2018, les attaques se sont diversifiées (phishing, minage, smishing et DNS-hijacking) et étendues à certains pays européens.
Généralement, les messages de smishing contiennent une description très courte et l'URL d'une page de renvoi, dont l’ouverture par l’utilisateur mène à deux scénarios possibles : s'il s'agit d'un utilisateur iOS, il est redirigé vers une page de phishing imitant le site officiel d'Apple et invité à saisir ses identifiants. S’il s’agit d’un appareil Android, il est infecté par un malware qui envoie des messages de smishing à d’autres cibles figurant parmi les contacts de l’utilisateur, mais aussi à des numéros de téléphone générés. En voyant que les SMS proviennent de personnes qu’ils connaissent, les utilisateurs sont généralement moins méfiants et ne suspectent pas un message malveillant. Cette campagne de smishing a atteint une telle intensité en France et en Allemagne que la police et des médias locaux ont publié des mises en garde.
L'une des fonctionnalités mises en place par les hackers permet de vérifier la région de l'appareil Android infecté afin d'afficher une page de phishing dans la langue correspondante. Dans les versions précédentes, cela ne concernait que trois zones géographiques : Hong Kong, Taïwan et le Japon. Les experts de Kaspersky ont observé une mise à jour dans la dernière version du payload, avec l’ajout de l'Allemagne et de la France en tant que nouvelles régions. L'utilisation de la langue maternelle des cibles permet d’influencer leurs décisions et de les convaincre plus facilement de partager leurs informations personnelles et bancaires.
La version la plus récente intègre également de nouvelles commandes de porte dérobée qui sont destinées à voler les photos des appareils infectés, mais aucune information sur la manière exacte dont les pirates les utilisent n'a été trouvée. Cependant, les cybercriminels utilisent souvent les photos personnelles pour obtenir de l'argent via le chantage ou la sextorsion.
« Roaming Mantis a activement évolué au cours des cinq dernières années, avec de nouveaux modes d'attaque et un plus grand nombre de pays ciblés. Nous prévoyons que ces attaques se poursuivront en 2022, car elles sont fortement motivées par l’argent, surtout avec l'arrivée de nouvelles fonctionnalités de porte dérobée permettant aux hackers d'utiliser les photos des victimes. Pour assurer la sécurité des utilisateurs du monde entier, nous effectuons constamment des recherches et des rapports sur les dernières activités de Roaming Mantis », souligne Suguru Ishimaru, senior security researcher au sein de la Global Research and Analysis Team de Kaspersky (GReAT).
Pour consulter l’intégralité du rapport sur Roaming Mantis partie VI, rendez-vous sur Securelist.
Pour vous protéger des attaques de smishing de Roaming Mantis, Kaspersky fait les recommandations suivantes :
● N’ouvrez pas les liens vers des URL suspectes que vous recevez par SMS. Même si un message ne semble pas frauduleux, vérifiez le domaine de l'URL avant d'y accéder.
● Même si un message ou un courriel provient d’un de vos meilleurs amis, n'oubliez pas que son compte a peut-être été piraté, et faites preuve de prudence en toutes circonstances. Même si un message semble amical, prêtez attention aux liens et aux pièces jointes.
● Les messages envoyés par des organismes officiels, comme des banques, des services fiscaux, des boutiques en ligne, des agences de voyage ou des compagnies aériennes, doivent également être examinés de près, y compris les communications internes de votre propre bureau. Il n’est pas très difficile de fabriquer un faux courrier ayant l’air authentique.
● N’installez pas d'applications tierces de sources non fiables.
● Installez une solution de sécurité digne de confiance et suivez ses recommandations. Ces solutions règlent la plupart des problèmes automatiquement et vous alertent si nécessaire.
Une campagne malveillante avancée se propage d’est en ouest
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >