Un faux site KeePass diffuse des malwares.

Un faux site KeePass diffuse des logiciels malveillants.

Le faux site KeePass utilise Google Ads et Punycode pour diffuser des logiciels malveillants. Une campagne Google Ads a été trouvée poussant un faux site de téléchargement KeePass qui utilisait Punycode à apparaître comme le domaine officiel du gestionnaire de mots de passe KeePass pour distribuer des logiciels malveillants. Google est aux prises avec des campagnes de publicité malveillante en cours qui permettent aux acteurs malveillants de supprimer les publicités sponsorisées qui apparaissent au-dessus des résultats de recherche.

Lorsqu’un utilisateur télécharge l’application depuis un faux site web qui imite le vrai, le hacker dépose un paquet malveillant sur l’appareil. Celui-ci a la forme d’un fichier zip qui contient un cheval de Troie. Une fois décompressé, le fichier (dont le Setup.exe) lance le dropper RomCom RAT

Le RAT (Remote Access Trojans) RomCom est initialement issu d’une campagne de spear phishing. Le harponnage informatique ou spear phishing est une attaque qui repose, généralement, sur une usurpation de l’identité de l’expéditeur. L’attaque RomCom évolue pour inclure l’usurpation de domaine et de téléchargement de certains produits. Les malwares RAT sont conçus pour permettre aux attaquants de prendre le contrôle à distance d’un système informatique, et il existe de nombreuses variantes de ces types de malwares.


RomCom est un virus informatique qui fait partie de la catégorie des Chevaux de Troie avec porte dérobée. plus précisément il se classe dans la famille des RAT, en trompant les destinataires et en installant un logiciel malveillant dans leur machine. Sur le principe, RomCom supprime le code HTML authentique des fournisseurs afin de le contrefaire. Il enregistre ensuite un domaine malveillant similaire au domaine légitime mais infecté avec une porte dérobée. Puis il télécharge un paquet frauduleux sur le faux site Web. Il s'en suit des campagnes de phishing pour trouver des victimes potentielles. Le groupe de pirates RomCom évolue rapidement et devient une menace potentielle en ciblant ses victimes dans le monde entier. En octobre 2022, RomCom est utilisé dans des attaques visant l'Ukraine, y compris des utilisateurs du programme ukrainien de connaissance de la situation Delta et des organisations des secteurs ukrainiens de l'énergie et de l'eau. En novembre 2022, les campagnes de phishing RomCom RAT abusent des marques populaires comme KeePass, SolarWinds et PDF Technologies. En juillet 2023, les pirates RomCom ciblent les invités du sommet de l'OTAN et les entités pro-ukrainiennes. En octobre 2023, les hackers utilisent le dropper pour diffuser des logiciels malveillants via un faux site du gestionnaire de mots de passe KeyPass.

Google Ads, anciennement Google AdWords, est la régie publicitaire de Google. Créée le 23 octobre 2000 aux États-Unis, ce service permet à des annonceurs d'acheter des annonces ou bannières publicitaires, qui seront affichées soit sur des logiciels de la galaxie Google, tels que Google Maps ou le moteur de recherche, soit sur le réseau des utilisateurs AdSense. Ces publicités sont ciblées en fonction du comportement de navigation de l'internaute.

Punycode est une syntaxe de codage définie dans la RFC 34921 et conçue pour être utilisée en adéquation avec les noms de domaine internationalisés dans les applications les prenant en charge. Il s'agit d'une application particulière de l’algorithme bootstring, dédiée au nom de domaine internationalisé, où le jeu de base est très réduit (limité aux seules 26 lettres de l’alphabet latin de base, sans distinction de casse, et aux 10 chiffres décimaux et au seul signe moins).

Le phishing, ou hameçonnage, demeure une menace majeure dans le paysage numérique. Les cybercriminels utilisent des emails frauduleux, des messages instantanés ou des sites web falsifiés pour duper les utilisateurs et leur soutirer des informations sensibles telles que des identifiants de connexion, des numéros de carte de crédit ou des données personnelles.

Se faisant passer pour des institutions légitimes, tels que des banques ou des entreprises de renom, les attaquants exploitent la confiance des utilisateurs pour accéder à leurs comptes ou commettre des fraudes financières. La sensibilisation et la vigilance demeurent les meilleurs remparts contre cette forme de cybercriminalité.

KeePass est un gestionnaire de mots de passe open source gratuit, qui vous aide à gérer vos mots de passe de manière sécurisée. Vous pouvez stocker tous vos mots de passe dans une base de données, qui est verrouillée avec une clé principale. Ainsi, vous n'avez qu'à vous souvenir d'une seule clé principale pour déverrouiller toute la base de données. Les fichiers de la base de données sont cryptés à l'aide des algorithmes de cryptage les meilleurs et les plus sécurisés actuellement connus (AES-256, ChaCha20 et Twofish). En mai 2023, la vulnérabilité CVE-2023-3278 permettait de récupérer le mot de passe principal en texte clair que l'espace de travail KeePass soit verrouillé ou que le programme soit fermé.

Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut