Vous voulez savoir si Trump est vraiment guéri du Covid-19 ? Des pirates ont un lien étrange à vous faire cliquer.

«  Les dernières informations sur l’état de santé du président », annonce l’objet de l’email. À l’intérieur de ce phishing repéré par Proofpoint se trouve un piège à clics qui tire sur les ficelles de l’exclusif et du secret : «  Ce que nous savons vraiment et que nous ne savons pas à propos des problèmes de santé de Trump liés au Covid. Des informations de sources proches sur l’état de santé de Trump, n’oubliez pas s’il vous plaît d’utiliser le code, car le fichier est secret  ». L’entreprise a identifié différentes variantes de l’email, qui emploient des formulations similaires.

En dessous de cette introduction mystérieuse, l’auteur du message a placé un lien vers un Google Doc, sobrement indiqué par l’expression « pièce jointe ». Vous l’aurez deviné : le fichier ne contient pas d’information exclusive, d’après le Bleeping Computer, mais bien un cheval de Troie, connu sous le nom de BazarLoader.

Un cheval de Troie capable de déployer des malwares encore plus virulents

L’attaque est bien ficelée, car la victime potentielle n’aura pas forcément le réflexe de s’inquiéter d’un lien Google Doc. Et puis les hackers ont soigné les détails : lorsqu’une cible clique sur le lien malveillant, un message indique que Google a scanné le fichier, et qu’il ne comporte pas de risque. Il invite donc l’utilisateur à télécharger le document, supposément au format Word.

Le fichier contient BazarLoader, un cheval de Troie capable d’installer des portes dérobées pour télécharger des malwares sur l’ordinateur, depuis une autre machine à distance. Il a été développé par le gang TrickBot, connu pour ses alliances avec deux organisations cybercriminels dangereuses : Emotet, et le rançongiciel Ryuk. BazarLoader se répand dans le système informatique de l’organisation victime, puis laisse entrer le rançongiciel, une des pires cyberattaques que peut subir une entreprise, puisqu’elle mène à une paralysie totale ou partielle de son activité.

Trump a voulu rassurer pour sa première prise de parole publique depuis son hospitalisation pour sa Covid-19, mais il a f // Source : Brennan Murphy

Hacker, premiers sur l’actu

Une fois de plus, les pirates ont adapté en un rien de temps leurs messages de phishing au sujet le plus suivi du moment. Le président Donald Trump a annoncé être touché par la Covid-19 le 2 octobre, puis a rapidement été hospitalisé. Il est sorti de l’établissement de santé le 6 octobre, et a déjà fait une prise de parole publique, visant à rassurer ses concitoyens.

Encore malade et sous un traitement expérimental, le président américain s’est présenté sans masque, en costume. Certains médias s’interrogent sur sa posture, et sa façon de respirer. Trump va-t-il vraiment mieux comme il l’affirme ou ne fait-il qu’illusion ? Le sujet intrigue, ce qui en fait un appât idéal pour le phishing.

Cette méthode d’attaque, qui consiste à inciter la cible à télécharger un logiciel malveillant, s’appuie sur l’ingénierie sociale, un ensemble de techniques destinées à manipuler la victime. Pour des hackers comme ceux derrière BazarLoader, la partie technique, le cheval de Troie lui-même, n’a pas besoin d’être mise à jour en permanence. En revanche, la partie textuelle doit s’adapter à l’actualité, pour toujours attirer l’intérêt des victimes. En quelques sortes, les hackers doivent avoir la même façon de penser… que les journalistes.

Partager sur les réseaux sociaux