Microsoft contre-attaque. La firme de Redmond affirme avoir pris le contrôle de 50 noms de domaine utilisé jusqu’ici de manière malveillante par un groupe de hackers dans le but d’obtenir les données privées des victimes.
Le géant américain a baptisé ledit groupe « Thallium » et pense que les pirates qui le composent opèrent depuis la Corée du Nord. Microsoft a traqué le réseau mis en place par les hackers mal intentionnés et a ainsi découvert que celui-ci était utilisé pour infecter les comptes et ordinateurs des personnes ciblées afin de leur voler des informations sensibles.
La firme précise aussi que Thallium s’est attaqué à des employés gouvernementaux, des membres d’organisation militant pour la paix et les droits humains, des think tank ou encore à du personnel universitaire. Les victimes étaient essentiellement situées aux États-Unis, en Corée du Sud et au Japon.
« Spear phishing »
La technique utilisée par Thallium s’appelle le « spear phishing ». Il s’agit là d’une méthode encore plus pernicieuse que l’hameçonnage — phishing — traditionnel. En effet, au lieu d’envoyer le même email piégé à tout un tas d’utilisateurs, les hackers prennent le temps de rassembler plusieurs informations sur leurs cibles depuis des bases de données publiques — notamment sur les réseaux sociaux — afin d’élaborer un message fortement personnalisé, ce qui le rend forcément plus crédible aux yeux de la victime.
Microsoft partage par ailleurs une capture d’écran montrant à quoi ressemble un faux mail de support client envoyé par Thallium. On peut voir que le nom de domaine n’est pas correct, « rnicrosoft.com » ayant remplacé le légitime « microsoft.com ». En lisant trop vite, d’aucuns pourraient confondre les lettres « rn » avec un « m ». Cette erreur d’inattention combinée à la présentation soignée du message risque de précipiter l’internaute dans le piège.
« BabyShark » et « KimJongRAT »
La suite vous la connaissez : en cliquant sur lien, la victime est invitée à entrer ses identifiants et autres informations personnelles afin que celles-ci soient volées par les hackers. Thalium pouvait ainsi accéder aux emails, listes de contacts et événements dans l’agenda de l’utilisateur.
À cela s’ajoutent des malwares installés sur l’ordinateur infecté qui attendaient ensuite les instructions de Thallium pour voler des données stockées sur l’appareil. Les logiciels en question ont été nommés « BabyShark » et « KimJongRAT ».
Microsoft précise en outre que sa prise de contrôle des 50 domaines a été validée par le tribunal de district des États-Unis pour le district oriental de Virginie.
Pour aller plus loin
Comment Google Maps sait ce que vous faites sans montrer qui vous êtes
[…] Spear phishing : comment des hackers nord-coréens ont berné des utilisateurs de Microsoft […]
En même temps vu la gueule des mails Microsoft
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix