La société de cybersécurité Eset a découvert une campagne de malware qui a commencé par une fausse offre d'emploi sur LinkedIn. Comment se défendre
Il existe des attaques de pirates "de masse" et des attaques sur mesure, ciblant finement des groupes spécifiques d'utilisateurs qui pourraient être très rentables pour l'attaquant. Soit pour les informations qui peuvent leur être volées, soit pour l'argent que les pirates peuvent leur soutirer. Eset a découvert une campagne de ce deuxième type et l'a baptisée " In(ter)ception ".
À la différence de nombreuses autres attaques basées sur des logiciels malveillants et envoyées à des milliers de personnes et d'appareils, In(ter)ception a fonctionné différemment : des utilisateurs spécifiques ayant des profils professionnels de haut niveau ont été sélectionnés, et de fausses offres d'emploi (via de faux profils) ont été envoyées via LinkedIn pour deux célèbres entreprises aérospatiales américaines. Collins Aerospace et General Dynamics. Eset a détecté cette activité suspecte entre septembre et décembre 2019 et les utilisateurs ciblés par l'attaque étaient principalement européens ou du Moyen-Orient. La collaboration entre Eset et les deux entreprises américaines a permis de mettre fin à ces tentatives d'attaques.
In(ter)ception : comment l'attaque a fonctionné
La première étape de la campagne de piratage In(ter)ception a été de créer de faux profils LinkedIn d'utilisateurs se faisant passer pour des responsables des ressources humaines de l'une des deux entreprises aérospatiales. La deuxième étape consistait à sélectionner la victime, qui était ensuite contactée par message privé avec une offre d'emploi très alléchante dans l'entreprise.
Dans cette phase, l'attaque n'était pas du tout automatisée, mais " faite à la main " : un hacker a lui-même chatté avec la victime pour la convaincre d'accepter l'offre d'emploi, incluant un très bon salaire. Et le salaire était l'appât : la victime recevait un fichier Rar protégé par un mot de passe contenant un fichier job.offer.lnk qui exécutait le code malveillant avant d'afficher le PDF (dans lequel l'utilisateur trouvait l'offre de l'entreprise). Sous couvert d'une offre d'emploi, un logiciel malveillant a ensuite été téléchargé sur le PC de la victime.
In(ter)ception : ce qui était à risque
Selon Eset, le logiciel malveillant déposé sur le disque dur de la victime était principalement un logiciel espion, qui envoyait périodiquement des données de l'ordinateur infecté à divers serveurs distants. Malheureusement, en raison des techniques sophistiquées utilisées par le malware, Eset n'a pas été en mesure de savoir quelles informations étaient extraites de l'ordinateur de la victime. Dans un cas, cependant, une tentative d'escroquerie par e-mail a échoué parce que l'utilisateur cible est devenu méfiant.