Un groupe de hacker, vraisemblablement vietnamien, a un coup d’avance sur les autres. Plutôt que de lancer lui-même des attaques contre ses cibles, il infeste des outils de hacking et les distribue gratuitement. Ensuite, il n’a plus qu’à se servir sur les appareils des hackers contaminés grâce à son cheval de Troie.

Pourquoi prendre le risque de voler des personnes quand on peut voler les voleurs ? C’est le principe qu’a suivi un groupe de hackers, vraisemblablement vietnamien, analysé par Cybereason Noctornus le 9 mars 2020.

Ces hackers infectent des logiciels de hacking avec un puissant cheval de Troie et les mettent à disposition gratuitement sur des forums. Ils s’offrent ainsi un accès au système des hackers, mais aussi à celui de leurs victimes. « On dirait qu’une personne, ou un groupe de personnes, réalise un raccourci plutôt malin pour accéder à plus de systèmes », évalue Amit Serper, vice-président de Cybereason, interrogé par Zdnet.

Image d'erreur

Oh non un hacker ! Oh non un hacker !

Manger les poissons sans pêcher

Les outils infectés fonctionnent, et peuvent servir à scanner les défenses d’une entreprise, à voler ses données ou encore à lancer des attaques de brute-force (par exemple, grâce à un logiciel qui va tester tout un éventail de mots de passe pour accéder à un compte). Une autre catégorie d’outil s’adresse plutôt à des hackers du dimanche qui veulent par exemple générer des clés produit pour accéder gratuitement à des logiciels payants.

Problème : tous ces outils installent également une porte dérobée que peuvent activer les hackers pour prendre contrôle du système du hacker victime. Cette manipulation ouvre non seulement un accès à l’ordinateur du hacker, mais aussi à tous les sites sur lesquels il a utilisé l’outil. Concrètement, les premiers laissent les seconds faire le sale boulot, puis leur dérobent les données.

Les outils infectés peuvent être utilisés par des opérateurs malveillants, mais aussi des chercheurs en cybersécurité en charge d’effectuer des tests d’intrusion officiels.

Un puissant cheval de Troie multiplié quotidiennement

Les hackers utilisent njRat, un cheval de Troie connu depuis plus de sept ans. Très puissant, il donne à l’assaillant un accès complet à l’ordinateur de sa cible. Il peut accéder aux fichiers, aux mots de passe et même, dans certains cas, aux microphones et aux webcams. Le plus souvent, les opérateurs utilisent des emails de phishing ou des appareils de stockages contaminés pour le répandre. Mais en l’intégrant à des logiciels, ils passent sous certains radars antivirus.

Cette campagne de hacking tourne depuis plusieurs années et a infecté des centaines de sites et d’outils. D’après Amit Serper, chercheur de Cybereason interrogé par Techcrunch, l’injection de njRat dans les logiciels est quotidien et peut être automatisée. L’attaque se déploie largement et sans intervention humaine.

Si cet usage du njRat est nouveau, la pratique d’entre-hacking est bien connue. Par exemple, il existe des outils pour lancer des campagnes de phishing qui envoient une copie des données volées au créateur de l’outil.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.