Plusieurs vagues d'email d'hameçonnage visent les habitants arabophones de Palestine. L'équipe de cybersécurité derrière la découverte suspecte les hackers d'avoir des motivations politiques.

Des hackers profitent des tensions politiques au Moyen-Orient pour viser les Palestiniens. D’après un rapport de l’équipe de cybersécurité Cybereason Noctornus, repéré par zdnet.com, deux campagnes d’hameçonnage par email se servent du conflit israélo-palestinien pour piéger leurs victimes. Leur objectif : déployer des logiciels capables d’effectuer toutes sortes d’actes malveillants. Dans l’opération, ils récupèreraient des informations précieuses, et pourraient s’en servir à des fins politiques.

Les chercheurs suspectent MoleRATs, un cybergang de Gaza connu depuis 2012, d’être derrière ces campagnes. Ce groupe arabophone s’est par le passé illustré par des actions à visée politique. Mais Cybereason prend des précautions : le grand nombre d’attaques similaires au Moyen-Orient complique l’identification des auteurs. « Par le passé, il y a eu des cas dans lesquels les acteurs malveillants tentaient d’en imiter d’autres pour brouiller les tentatives d’attributions. À cause de ces comportements, l’attribution doit être prise avec des pincettes  », préviennent-ils. Les criminels pourraient donc être palestiniens, mais aussi israéliens, égyptiens, ou d’une autre nationalité.

Les mots clés « Hamas » et « Abu-Mazen » déguisent les pièges

Les hackers incitent leurs cibles à tomber dans leur piège avec des techniques d’ingénierie sociale. Ils attisent les passions politiques de leurs cibles pour détourner leur méfiance. Les pièces jointes des emails qu’ils envoient ont des titres comme « rencontre entre Abu-Mazen [le surnom du président de l’État de Palestin Mahmoud Abbas, ndlr] et Kushner [le beau-fils de Donald Trump, ndlr] » ou « Haniyeh [chef de file du Hamas] restera hors du territoire et le Hamas intensifie ses actions à Gaza ». Ces documents se déclinent en différents formats, comme le .pdf ou le .exe.

Objectif : vol d’information. À des fins politiques ?

Si les cibles mordent à l’hameçon et ouvrent ces documents, les hackers les poussent ensuite à télécharger d’autres documents depuis une Dropbox ou un équivalent. Ces fichiers, maquillés en fichiers Microsoft Word, contiennent un logiciel malveillant, Spark. Pour passer sous les radars, il chiffre son contenu et repère en amont la présence d’antivirus. Ensuite, il va installer des portes dérobées, qui permettront aux malfaiteurs de se connecter au système en toute discrétion. Les victimes se retrouvent ainsi exposées à toutes sortes d’actes malveillants : vol d’informations, chiffrement de données, téléchargement d’autres logiciels malveillants…

Les hackers utilisent aussi un logiciel jusque-là inconnu, baptisé Pierogi. Moins puissant que Spark, ce malware supposément ukrainien permet tout de même de voler des données, télécharger des logiciels supplémentaires ou encore de prendre des captures d’écran.

Ces attaques, menées supposément par des Palestiniens, ne viseraient que d’autres Palestiniens ou du moins, seulement des arabophones : le logiciel malveillant contrôle que le clavier et les réglages de langue sont en configurés en arabe.

Crédit photo de la une : Pixabay

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux