L'entreprise Check Point a mis à jour les activités d'un groupe de cybercriminels qui agirait pour l'État iranien. Parmi l'arsenal déployé par le groupe se trouve un outil rare : un malware Android capable de voler les SMS, et d'ainsi contourner la double authentification.

« Rampant Kitten », littéralement les « chatons hors de contrôle ». Voilà le drôle nom donné par Check Point à un groupe de cybercriminels iraniens, qui œuvre d’après eux pour le compte de l’État iranien. L’entreprise a tracé l’activité du gang sur les six dernières années, et leur constat inscrit une tendance : les pirates s’en prennent principalement à des organisations locales, s’opposent au gouvernement ou soutiennent des minorités. Comme tous les APT — ces groupes soutenus par un État –, Rampant Kitten disposerait de moyens au-dessus de la moyenne pour mettre en place ses activités de cyberespionnage et de surveillance.

Check Point a découvert un arsenal de cyberattaque varié. D’un côté quatre variantes d’un malware pour Windows capables de voler des documents, dont les messages de l’app de bureau de la messagerie Telegram (connu pour le chiffrement de ses messages) ou encore les identifiants du gestionnaire de mot de passe KeePass (ce qui permet d’accéder à tous les mots de passe de la victime).

Non seulement le malware de Rampant Kitten peut enregistrer et exfiltrer des conversations, mais il peut aussi dérober les codes de la double authentification. // Source : Louise Audry pour Numerama

Pour compléter leur outillage, le gang a aussi développé des portes dérobées (ou backdoors) pour les smartphones Android : elles leur permettent d’enregistrer et d’exfiltrer discrètement des conversations vocales, ou d’afficher arbitrairement des pages de phishing. Mais leur logiciel malveillant présente une propriété encore plus rare : il est capable de dérober les SMS furtivement, avec une fonctionnalité dédiée aux codes de la double authentification, aussi appelée 2FA.

Les cybercriminels franchissent une barrière de sécurité supplémentaire

Ce standard de sécurité, désormais disponible sur de nombreux services, complique le vol de comptes en ligne. Pour se connecter à un compte protégé par la 2FA, il faut non seulement l’identifiant et le mot de passe de sa cible, mais également un code envoyé sur son smartphone (ou sur une app tierce comme Google Authenticator). En récupérant cette donnée, les cybercriminels se donnent une chance supplémentaire d’accéder aux comptes de leur cible.

Par exemple s’ils sont parvenus à obtenir l’accès au gestionnaire de mot de passe de leur victime, ils obtiendront avec ce malware les dernières informations qui leur manquent pour s’emparer d’un morceau de la vie numérique de leurs cibles. Ils pourront se servir de ces accès passivement pour récolter des informations. Mais ils peuvent aussi s’en servir activement pour envoyer des messages de phishing à d’autres cibles.

Les prouesses de Rampant Kitten rappelle que même si les gestionnaires de mot de passe et la double authentification sont deux standards de sécurité supplémentaires, ils ne suffisent pas à se protéger face à des hackers expérimentés.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux