Spear phishing : comment des hackers nord-coréens ont berné des utilisateurs de Microsoft

Microsoft se bat aussi contre « BabyShark » 🦈 et « KimJongRAT » 🐀

 
Microsoft a lancé une offensive contre un groupe de hackers nord-coréens qui utilisait une technique appelée le « spear phishing » pour voler les données des personnes ciblées, souvent des employés gouvernementaux et des membres d’organisations militantes pour la paix.

Microsoft contre-attaque. La firme de Redmond affirme avoir pris le contrôle de 50 noms de domaine utilisé jusqu’ici de manière malveillante par un groupe de hackers dans le but d’obtenir les données privées des victimes.

Le géant américain a baptisé ledit groupe « Thallium » et pense que les pirates qui le composent opèrent depuis la Corée du Nord. Microsoft a traqué le réseau mis en place par les hackers mal intentionnés et a ainsi découvert que celui-ci était utilisé pour infecter les comptes et ordinateurs des personnes ciblées afin de leur voler des informations sensibles.

La firme précise aussi que Thallium s’est attaqué à des employés gouvernementaux, des membres d’organisation militant pour la paix et les droits humains, des think tank ou encore à du personnel universitaire. Les victimes étaient essentiellement situées aux États-Unis, en Corée du Sud et au Japon.

« Spear phishing »

La technique utilisée par Thallium s’appelle le « spear phishing ». Il s’agit là d’une méthode encore plus pernicieuse que l’hameçonnage — phishing — traditionnel. En effet, au lieu d’envoyer le même email piégé à tout un tas d’utilisateurs, les hackers prennent le temps de rassembler plusieurs informations sur leurs cibles depuis des bases de données publiques — notamment sur les réseaux sociaux — afin d’élaborer un message fortement personnalisé, ce qui le rend forcément plus crédible aux yeux de la victime.

Microsoft partage par ailleurs une capture d’écran montrant à quoi ressemble un faux mail de support client envoyé par Thallium. On peut voir que le nom de domaine n’est pas correct, « rnicrosoft.com » ayant remplacé le légitime « microsoft.com ». En lisant trop vite, d’aucuns pourraient confondre les lettres « rn » avec un « m ». Cette erreur d’inattention combinée à la présentation soignée du message risque de précipiter l’internaute dans le piège.

« BabyShark » et « KimJongRAT »

La suite vous la connaissez : en cliquant sur lien, la victime est invitée à entrer ses identifiants et autres informations personnelles afin que celles-ci soient volées par les hackers. Thalium pouvait ainsi accéder aux emails, listes de contacts et événements dans l’agenda de l’utilisateur.

À cela s’ajoutent des malwares installés sur l’ordinateur infecté qui attendaient ensuite les instructions de Thallium pour voler des données stockées sur l’appareil. Les logiciels en question ont été nommés « BabyShark » et « KimJongRAT ».

Microsoft précise en outre que sa prise de contrôle des 50 domaines a été validée par le tribunal de district des États-Unis pour le district oriental de Virginie.

Pour aller plus loin
Comment Google Maps sait ce que vous faites sans montrer qui vous êtes


Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).