Un faux site KeePass diffuse des logiciels malveillants.
Le faux site KeePass utilise Google Ads et Punycode pour diffuser des logiciels malveillants. Une campagne Google Ads a été trouvée poussant un faux site de téléchargement KeePass qui utilisait Punycode à apparaître comme le domaine officiel du gestionnaire de mots de passe KeePass pour distribuer des logiciels malveillants. Google est aux prises avec des campagnes de publicité malveillante en cours qui permettent aux acteurs malveillants de supprimer les publicités sponsorisées qui apparaissent au-dessus des résultats de recherche.
Lorsqu’un utilisateur télécharge l’application depuis un faux site web qui imite le vrai, le hacker dépose un paquet malveillant sur l’appareil. Celui-ci a la forme d’un fichier zip qui contient un cheval de Troie. Une fois décompressé, le fichier (dont le Setup.exe) lance le dropper RomCom RAT
Le RAT (Remote Access Trojans) RomCom est initialement issu d’une campagne de spear phishing. Le harponnage informatique ou spear phishing est une attaque qui repose, généralement, sur une usurpation de l’identité de l’expéditeur. L’attaque RomCom évolue pour inclure l’usurpation de domaine et de téléchargement de certains produits. Les malwares RAT sont conçus pour permettre aux attaquants de prendre le contrôle à distance d’un système informatique, et il existe de nombreuses variantes de ces types de malwares.
RomCom est un virus informatique qui fait partie de la catégorie des Chevaux de Troie avec porte dérobée. plus précisément il se classe dans la famille des RAT, en trompant les destinataires et en installant un logiciel malveillant dans leur machine. Sur le principe, RomCom supprime le code HTML authentique des fournisseurs afin de le contrefaire. Il enregistre ensuite un domaine malveillant similaire au domaine légitime mais infecté avec une porte dérobée. Puis il télécharge un paquet frauduleux sur le faux site Web. Il s'en suit des campagnes de phishing pour trouver des victimes potentielles. Le groupe de pirates RomCom évolue rapidement et devient une menace potentielle en ciblant ses victimes dans le monde entier. En octobre 2022, RomCom est utilisé dans des attaques visant l'Ukraine, y compris des utilisateurs du programme ukrainien de connaissance de la situation Delta et des organisations des secteurs ukrainiens de l'énergie et de l'eau. En novembre 2022, les campagnes de phishing RomCom RAT abusent des marques populaires comme KeePass, SolarWinds et PDF Technologies. En juillet 2023, les pirates RomCom ciblent les invités du sommet de l'OTAN et les entités pro-ukrainiennes. En octobre 2023, les hackers utilisent le dropper pour diffuser des logiciels malveillants via un faux site du gestionnaire de mots de passe KeyPass.
Google Ads, anciennement Google AdWords, est la régie publicitaire de Google. Créée le 23 octobre 2000 aux États-Unis, ce service permet à des annonceurs d'acheter des annonces ou bannières publicitaires, qui seront affichées soit sur des logiciels de la galaxie Google, tels que Google Maps ou le moteur de recherche, soit sur le réseau des utilisateurs AdSense. Ces publicités sont ciblées en fonction du comportement de navigation de l'internaute.
Punycode est une syntaxe de codage définie dans la RFC 34921 et conçue pour être utilisée en adéquation avec les noms de domaine internationalisés dans les applications les prenant en charge. Il s'agit d'une application particulière de l’algorithme bootstring, dédiée au nom de domaine internationalisé, où le jeu de base est très réduit (limité aux seules 26 lettres de l’alphabet latin de base, sans distinction de casse, et aux 10 chiffres décimaux et au seul signe moins).
L’hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. En effet, le plus souvent, une copie exacte d'un site internet est réalisée dans l'optique de faire croire à la victime qu'elle se trouve sur le site internet officiel où elle pensait se connecter. La victime va ainsi rentrer ses codes personnels qui seront récupérés par celui qui a créé le faux site, il aura ainsi accès aux données personnelles de la victime, et par exemple dans le cadre d'un jeu, pourra dérober tout ce que la victime possède sur le jeu.
KeePass est un gestionnaire de mots de passe open source gratuit, qui vous aide à gérer vos mots de passe de manière sécurisée. Vous pouvez stocker tous vos mots de passe dans une base de données, qui est verrouillée avec une clé principale. Ainsi, vous n'avez qu'à vous souvenir d'une seule clé principale pour déverrouiller toute la base de données. Les fichiers de la base de données sont cryptés à l'aide des algorithmes de cryptage les meilleurs et les plus sécurisés actuellement connus (AES-256, ChaCha20 et Twofish). En mai 2023, la vulnérabilité CVE-2023-3278 permettait de récupérer le mot de passe principal en texte clair que l'espace de travail KeePass soit verrouillé ou que le programme soit fermé.
