Visitez notre kiosque à CANSEC les 27-28 mai
Une recherche banale sur Bing pour trouver un exemple de biographie professionnelle. Un site web apparemment légitime. Une conversation rassurante entre utilisateurs. Un clic. Et voilà, vos fichiers sont chiffrés. Cette campagne d'infection ciblant spécifiquement les francophones révèle à quel point l'ingénierie sociale moderne peut être redoutablement efficace.
Le piège parfait
Les attaquants ont soigneusement optimisé un site web pour qu'il apparaisse dans les premiers résultats de recherche sur Bing. La page affiche une conversation entre utilisateurs qui semble authentique. Un certain Fluffy demande où trouver un exemple de biographie. Un utilisateur nommé Admin (choix de pseudonyme non anodin) fournit généreusement un lien de téléchargement. Fluffy remercie et confirme que c'est exactement ce qu'il cherchait.
Tout cela est orchestré par une seule personne. Les dates de publication sont constamment mises à jour pour donner une impression de fraîcheur. La crédibilité du pseudonyme "Admin" suggère une autorité officielle. N'importe qui cherchant un tel document aurait cliqué.
L'invisibilité comme arme
Le fichier téléchargé se présente comme un exemple de biographie compressé. À l'intérieur se cache un programme JavaScript malveillant. Au moment de l'analyse, seulement trois antivirus sur 56 identifiaient ce fichier comme potentiellement dangereux. Les autres le considéraient parfaitement sain. Même des solutions réputées comme Malwarebytes, ESET NOD32 et ClamAV n'y voyaient aucun problème.
Une variante zéro-jour de Sodinokibi
L'analyse révèle un rançongiciel sophistiqué de la famille Sodinokibi, l'un des plus actifs en 2020. Le code JavaScript obfusqué s'exécute via PowerShell en contournant les politiques de sécurité. Une fois activé, il communique avec des serveurs aux Pays-Bas, au Danemark et en Virginie pour orchestrer le chiffrement complet des données. Dans chaque dossier affecté, une note de rançon portant un identifiant unique guide la victime vers les instructions de paiement.
Une opération de plusieurs mois
Notre signalement aux autorités canadiennes et américaines (GRC, FBI, CST) a déclenché une enquête qui a nécessité plusieurs mois avant le démantèlement complet de l'infrastructure malveillante. Ce délai, typique pour ce type d'opération, illustre la complexité de combattre ces menaces internationales.
L'analyse complète documente la chaîne d'infection, les communications réseau, les techniques d'obfuscation et les serveurs de commande. Elle démontre pourquoi les approches basées uniquement sur les signatures échouent face aux menaces modernes.
