Une campagne de cybercriminalité particulièrement sophistiquée circule actuellement en Europe et cible spécifiquement les ordinateurs fonctionnant sous Windows.
Selon une analyse publiée par les chercheurs en cybersécurité de Securonix, cette vague d’attaques vise en priorité les acteurs du secteur de l’hôtellerie et du voyage, notamment les hôtels, les maisons d’hôtes et les agences spécialisées. Le choix du calendrier n’est pas anodin. Les cybercriminels profitent de la période des fêtes de fin d’année, traditionnellement très chargée, pour multiplier leurs chances de succès.
Ce que révèle l’enquête sur cette offensive contre Windows
L’attaque repose sur une technique appelée ClickFix, qui ne s’appuie pas sur une faille logicielle, mais sur la manipulation psychologique des utilisateurs. Plutôt que de déjouer les systèmes de sécurité, les hackers incitent leurs victimes à entreprendre volontairement des actions périlleuses, rendant les mesures de protection traditionnelles inefficaces.
L’origine du problème est un e-mail frauduleux qui mime parfaitement une correspondance officielle de Booking.com. Le message traite de l’annulation d’une réservation et d’un remboursement conséquent, généralement au-delà de 1 000 euros. Cette somme importante pousse les bénéficiaires à actionner le lien donné. Ce dernier renvoie vers un site falsifié imitant parfaitement l’apparence de la plateforme authentique, ce qui rend la tromperie complexe à repérer pour un utilisateur non averti.
Une fois sur le faux site, un événement inattendu se produit. Un faux écran bleu de la mort de Windows s’affiche en plein écran. Ce message, habituellement associé à une panne critique du système, est utilisé ici pour provoquer un sentiment d’urgence et de confusion. La victime est alors persuadée que son ordinateur vient de subir un grave dysfonctionnement.
L’écran suggère par la suite une démarche prétendument corrective, invitant l’utilisateur à effectuer une série de frappes au clavier. En respectant ces directives, la victime exécute effectivement une commande cachée qui implante un logiciel malveillant appelé AsyncRAT. Ce logiciel malveillant à accès à distance donne aux assaillants la possibilité de contrôler intégralement l’appareil, de surveiller les frappes au clavier, d’observer l’écran et de soustraire des informations confidentielles.
Les conséquences peuvent être lourdes pour les établissements touchés, allant du vol d’informations clients à une compromission complète du réseau interne. D’après les éléments recueillis par Securonix, les auteurs de cette campagne malveillante seraient liés à des groupes cybercriminels d’origine russe.
