{"id":23433,"date":"2025-12-12T17:38:54","date_gmt":"2025-12-12T15:38:54","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23433"},"modified":"2025-12-12T17:38:54","modified_gmt":"2025-12-12T15:38:54","slug":"syncro-remote-admin-tool-on-ai-generated-fake-websites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/syncro-remote-admin-tool-on-ai-generated-fake-websites\/23433\/","title":{"rendered":"Attaques men\u00e9es via Syncro et des sites g\u00e9n\u00e9r\u00e9s par IA"},"content":{"rendered":"

Nous avons r\u00e9cemment d\u00e9tect\u00e9 une nouvelle campagne malveillante qui suit une approche plut\u00f4t intrigante. L\u2019acteur cr\u00e9e ses propres versions sign\u00e9es d\u2019un r\u00e9el outil d\u2019acc\u00e8s \u00e0 distance (RAT). Pour les distribuer, ils utilisent un service assist\u00e9 par IA afin de g\u00e9n\u00e9rer en masse des pages Internet malveillantes qui se pr\u00e9sentent de mani\u00e8re convaincante comme les sites officiels de diverses applications.<\/p>\n

Lisez la suite pour d\u00e9couvrir en quoi consiste cette attaque, pourquoi elle est particuli\u00e8rement dangereuse pour les utilisateurs et comment vous prot\u00e9ger.<\/p>\n

Comment fonctionne l\u2019attaque<\/h2>\n

Les acteurs malveillants semblent recourir \u00e0 plusieurs vecteurs de lancement pour leurs attaques. Tout d\u2019abord, ils misent clairement sur le fait qu\u2019un nombre important d\u2019utilisateurs atterriront sur leurs fausses pages via de simples recherches Google. En effet, les sites frauduleux ont g\u00e9n\u00e9ralement des adresses qui correspondent \u00e0 ce que les utilisateurs recherchent, ou qui s\u2019en rapprochent fortement.<\/p>\n

\"Faux<\/a>

En parcourant les r\u00e9sultats de recherche Google, vous pouvez parfois tomber sur une multitude de faux sites Pok\u00e9mon se faisant passer pour des sites authentiques. Dans ce cas, nous nous int\u00e9ressons aux clones de Polymarket.<\/p><\/div>\n

Deuxi\u00e8mement, ils ont recours \u00e0 des campagnes d\u2019emails malveillants comme alternative. Dans ce sc\u00e9nario, l\u2019attaque commence lorsque l\u2019utilisateur re\u00e7oit un email contenant un lien vers un faux site Internet. Voici \u00e0 quoi ressemble le contenu\u00a0:<\/p>\n

Chers d\u00e9tenteurs de $DOP,
\nLa p\u00e9riode de migration de DOP-v1 vers DOP-v2 est officiellement termin\u00e9e, avec plus de 8 milliards de jetons migr\u00e9s.
\nNous sommes ravis d'annoncer que le portail de r\u00e9clamations DOP-v2 est d\u00e9sormais OUVERT !
\nTous les d\u00e9tenteurs de $DOP peuvent d\u00e9sormais se rendre sur le portail pour r\u00e9clamer leurs jetons en toute s\u00e9curit\u00e9 et passer \u00e0 la prochaine phase de l'\u00e9cosyst\u00e8me.
\nR\u00e9clamez vos jetons DOP-v2 maintenant https:\/\/migrate-dop{dot}org\/
\nBienvenue dans DOP-v2 \u2013 un chapitre plus riche, plus clair et plus gratifiant commence aujourd'hui.
\nMerci de faire partie de cette aventure.
\nL'\u00e9quipe DOP<\/code><\/p>\n

Certaines des pages malveillantes que nous avons d\u00e9couvertes dans cette campagne se pr\u00e9sentent comme des sites Internet d\u2019applications antivirus ou de gestion de mots de passe. Leur contenu est clairement con\u00e7u pour effrayer l\u2019utilisateur avec de faux avertissements de probl\u00e8mes de s\u00e9curit\u00e9.<\/p>\n

\"Faux<\/a>

Un faux site Internet Avira pr\u00e9vient d\u2019une vuln\u00e9rabilit\u00e9 et conseille de t\u00e9l\u00e9charger sa \u00ab\u00a0mise \u00e0 jour\u00a0\u00bb<\/p><\/div>\n

Les pirates exploitent donc \u00e9galement une tactique bien connue appel\u00e9e scareware<\/a>, qui consiste \u00e0 pousser les utilisateurs \u00e0 installer une application dangereuse sous couvert de les prot\u00e9ger d\u2019une menace imaginaire.<\/p>\n

\"Faux<\/a>

Une fausse page Dashlane met en garde contre une \u00ab\u00a0exposition des m\u00e9tadonn\u00e9es de chiffrement de haute gravit\u00e9 impactant la synchronisation du relais cloud\u00a0\u00bb, quoi que cela puisse signifier. Et bien s\u00fbr, il est impossible de r\u00e9soudre ce probl\u00e8me sans rien t\u00e9l\u00e9charger<\/p><\/div>\n

Faux sites cr\u00e9\u00e9s avec Lovable<\/h2>\n

Malgr\u00e9 des diff\u00e9rences de contenu, les faux sites impliqu\u00e9s dans cette campagne malveillante partagent plusieurs caract\u00e9ristiques communes. Pour commencer, la plupart de leurs adresses sont construites selon la formule {nom de l\u2019application populaire} + desktop.com<\/em>, une URL qui correspond \u00e9troitement \u00e0 une requ\u00eate de recherche courante.<\/p>\n

De plus, les fausses pages elles-m\u00eames ont l\u2019air assez professionnelles. Il est int\u00e9ressant de noter que l\u2019apparence des sites frauduleux ne reproduit pas exactement celle des sites originaux\u00a0: il ne s\u2019agit pas de clones directs. Au contraire, ce sont des variations tr\u00e8s convaincantes autour d\u2019un m\u00eame th\u00e8me. \u00c0 titre d\u2019exemple, nous pouvons nous pencher sur certaines versions contrefaites de la page du portefeuille de cryptomonnaies Lace. L\u2019un d\u2019eux ressemble \u00e0 ceci\u00a0:<\/p>\n

\"Faux<\/a>

La premi\u00e8re variante du faux site Lace<\/p><\/div>\n

Un autre ressemble \u00e0 ceci\u00a0:<\/p>\n

\"Un<\/a>

La deuxi\u00e8me variante du faux site Lace<\/p><\/div>\n

Ces imitations ressemblent beaucoup au site original de Lace, mais elles pr\u00e9sentent tout de m\u00eame plusieurs diff\u00e9rences notables\u00a0:<\/p>\n

\"Le<\/a>

Les fausses versions ressemblent \u00e0 certains \u00e9gards au v\u00e9ritable site de Lace, tout en s\u2019en \u00e9cartant sur d\u2019autres points. Source<\/a><\/p><\/div>\n

Il s\u2019av\u00e8re que les pirates ont utilis\u00e9 un outil de cr\u00e9ation de sites bas\u00e9 sur l\u2019IA pour cr\u00e9er de fausses pages. Comme les pirates ont pris des raccourcis et laiss\u00e9 par inadvertance quelques indices r\u00e9v\u00e9lateurs, nous avons r\u00e9ussi \u00e0 identifier le service exact qu\u2019ils utilisent\u00a0: Lovable.<\/p>\n

L\u2019utilisation d\u2019un outil IA leur a permis de r\u00e9duire consid\u00e9rablement le temps n\u00e9cessaire \u00e0 la cr\u00e9ation d\u2019un faux site et de produire des imitations \u00e0 l\u2019\u00e9chelle industrielle.<\/p>\n

Outil d\u2019administration \u00e0 distance Syncro<\/h2>\n

Une autre fonctionnalit\u00e9 commune aux sites frauduleux impliqu\u00e9s dans cette campagne est qu\u2019ils distribuent tous exactement la m\u00eame charge utile. Les acteurs malveillants n\u2019ont ni cr\u00e9\u00e9 leur propre cheval de Troie, ni m\u00eame achet\u00e9 un programme malveillant sur le march\u00e9 noir. Au lieu de cela, ils utilisent leur propre version d\u2019un outil d\u2019acc\u00e8s \u00e0 distance reconnu\u00a0: Syncro.<\/p>\n

L\u2019application d\u2019origine facilite la surveillance centralis\u00e9e et l\u2019acc\u00e8s \u00e0 distance pour les \u00e9quipes informatiques des entreprises et les fournisseurs de services g\u00e9r\u00e9s (MSP). Les services Syncro sont relativement peu co\u00fbteux, \u00e0 partir de 129\u00a0$ par mois avec un nombre illimit\u00e9 d\u2019appareils g\u00e9r\u00e9s.<\/p>\n

\"Faux<\/a>

Faux site de portefeuille de cryptomonnaies Yoroi<\/p><\/div>\n

Cet outil offre \u00e9galement des fonctionnalit\u00e9s tr\u00e8s avanc\u00e9es\u00a0: en plus du partage d\u2019\u00e9cran, le service permet \u00e9galement l\u2019ex\u00e9cution de commandes \u00e0 distance, le transfert de fichiers, l\u2019analyse des journaux, la modification du registre et d\u2019autres actions en arri\u00e8re-plan. Cependant, le principal atout de Syncro r\u00e9side dans la simplicit\u00e9 de son processus d\u2019installation et de connexion. L\u2019utilisateur \u2013 ou, dans ce cas, la victime \u2013 n\u2019a qu\u2019\u00e0 t\u00e9l\u00e9charger et ex\u00e9cuter le fichier d\u2019installation.<\/p>\n

\u00c0 partir de ce moment-l\u00e0, l\u2019installation s\u2019ex\u00e9cute enti\u00e8rement en arri\u00e8re-plan, chargeant secr\u00e8tement une version malveillante de Syncro sur l\u2019ordinateur. Comme cette version contient l\u2019identifiant CUSTOMER_ID du pirate, celui-ci prend instantan\u00e9ment le contr\u00f4le total de la machine de la victime.<\/p>\n

\"Fen\u00eatre<\/a>

La fen\u00eatre d\u2019installation de Syncro s\u2019affiche \u00e0 l\u2019\u00e9cran pendant quelques secondes seulement, et seul un utilisateur averti pourrait remarquer que le mauvais logiciel est en train d\u2019\u00eatre install\u00e9.<\/p><\/div>\n

Une fois Syncro install\u00e9 sur l\u2019appareil de la victime, les pirates obtiennent un acc\u00e8s complet \u00e0 celui-ci et peuvent l\u2019utiliser pour atteindre leurs objectifs. Vu le contexte, ces attaques consistent manifestement \u00e0 voler les cl\u00e9s des portefeuilles de cryptomonnaies des victimes et \u00e0 d\u00e9tourner les fonds vers les comptes des cybercriminels.<\/p>\n

\"Faux<\/a>

Un autre site frauduleux, cette fois-ci pour le protocole Liqwid DeFi. Bien que Liqwid ne propose qu\u2019une application web, le site frauduleux permet aux utilisateurs de t\u00e9l\u00e9charger des programmes pour Windows, macOS et m\u00eame Linux.<\/p><\/div>\n

Comment vous prot\u00e9ger contre ces attaques\u00a0?<\/h2>\n

Cette campagne malveillante repr\u00e9sente une menace consid\u00e9rable pour les utilisateurs, et ce, pour deux raisons principales. Tout d\u2019abord, les faux sites cr\u00e9\u00e9s \u00e0 l\u2019aide du service d\u2019IA ont l\u2019air assez professionnels, et leurs URL ne sont pas trop suspectes. Bien entendu, la conception des fausses pages et les domaines utilis\u00e9s diff\u00e8rent sensiblement des vrais, mais ces diff\u00e9rences ne sont visibles qu\u2019en les comparant directement. \u00c0 premi\u00e8re vue, cependant, il est facile de confondre le faux site avec l\u2019original.<\/p>\n

Deuxi\u00e8mement, les pirates utilisent un outil d\u2019acc\u00e8s \u00e0 distance l\u00e9gitime pour infecter les utilisateurs. Autrement dit, il peut \u00eatre difficile de d\u00e9tecter l\u2019infection.<\/p>\n

Notre solution de s\u00e9curit\u00e9<\/a>pr\u00e9voit un verdict sp\u00e9cial pour des cas de ce type : \u00ab\u00a0Not-a-virus\u00a0\u00bb<\/a>. Ce verdict est attribu\u00e9, entre autres, lorsque divers outils d\u2019acc\u00e8s \u00e0 distance, y compris le logiciel l\u00e9gitime Syncro, sont d\u00e9tect\u00e9s sur l\u2019appareil. En ce qui concerne les versions de Syncro utilis\u00e9es \u00e0 des fins malveillantes, notre solution de s\u00e9curit\u00e9<\/a>\u00a0les d\u00e9tecte sous le nom HEUR:Backdoor.OLE2.RA-Based.gen<\/em>.<\/p>\n

Il est important de garder \u00e0 l\u2019esprit qu\u2019un antivirus ne bloque pas par d\u00e9faut tous les outils d\u2019administration \u00e0 distance authentiques afin de ne pas interf\u00e9rer avec leur utilisation pr\u00e9vue. Nous vous recommandons donc d\u2019\u00eatre tr\u00e8s attentif aux notifications de votre solution de s\u00e9curit\u00e9. Si vous constatez un avertissement indiquant qu\u2019un logiciel Not-a-virus<\/em> a \u00e9t\u00e9 d\u00e9tect\u00e9 sur votre appareil, traitez cette information s\u00e9rieusement et v\u00e9rifiez au moins quelle application l\u2019a d\u00e9clench\u00e9.<\/p>\n

Si vous avez install\u00e9 Kaspersky Premium<\/a>, utilisez la fonctionnalit\u00e9 de d\u00e9tection des acc\u00e8s \u00e0 distance<\/a> et, si n\u00e9cessaire, l\u2019option de suppression de l\u2019application, fournies avec votre abonnement premium. Cette fonction d\u00e9tecte une trentaine des applications d\u2019acc\u00e8s \u00e0 distance les plus courantes, et si vous savez ne pas en avoir install\u00e9 vous-m\u00eame, il y a de quoi s\u2019inqui\u00e9ter.<\/p>\n

\"Kaspersky<\/a>

Kaspersky Premium d\u00e9tecte (et vous permet de supprimer) m\u00eame les versions l\u00e9gitimes de Syncro et d\u2019autres applications d\u2019acc\u00e8s \u00e0 distance.<\/p><\/div>\n

Autres recommandations\u00a0:<\/p>\n