Pc-urgence Microsoft désarme 50 domaines et sites web piégés - Pc-urgence

Après avoir identifié et engagé des actions pour désactiver des centaines de domaines et sites web pirates et frauduleux usurpant ses services depuis la Chine, la Russie et l’Iran, Microsoft a réussi à faire tomber le groupe de cyberpirates Thallium. Ce groupe opérait a priori depuis la Corée du Nord.

La course au vol d’identifiants et mots de passe est sans fin. Parmi les cibles privilégiées des nombreux groupes de cybercriminels, on trouve les utilisateurs de services informatiques très communs tel que la messagerie, la bureautique en ligne… Rien d’étonnant donc de savoir que ceux de Microsoft intéressent de près les pirates qui utilisent des techniques de plus en plus fines et ciblées afin de voler les précieux sésames. Afin de traquer les activités frauduleuses tentant via notamment des campagnes de spear phishing de récupérer les couples log in/mot de passe, la firme de Redmond dispose de plusieurs ressources dont son unité de lutte contre le crime numérique (Digital Crimes Unit) ou encore son Threat Intelligence Center. 

Plusieurs opérations ont été réalisées ayant abouti au démantèlement d’infrastructures contrôlant des centaines de domaines et sites web malveillants opérés par des groupes de cybercriminels en Chine (Barium), Russie (Strontium) et Iran (Phosphorus). Le dernier groupe mis à terre, Thallium – très probablement originaire de Corée de Nord – pilotait de son côté une cinquantaine de domaines et sites piégés. Dans un billet, l’éditeur a apporté quelques précisions sur le mode opératoire employé par les pirates. Une procédure juridique constituée par Microsoft près la Cour du district de l’Est de la Virginie a par ailleurs été rendue publique.

Des techniques de piratage finement pensées

Spoofing IP Microsoft

Exemple de mail envoyé par les pirates utilisant la technique de spoofing IP. (crédit : Microsoft)

« Thallium tente généralement de tromper les victimes grâce à une technique connue sous le nom de phishing. En collectant des informations sur les individus ciblés à partir des médias sociaux, des répertoires du personnel public des organisations individuelles sont impliqués avec et d’autres sources publiques, Thallium est en mesure de créer un courrielde spear phishing personnalisé de manière à lui donner de la crédibilité », a indiqué Tom Burt, vice président corporate de l’activité sécurité et confiance client. Dans un exemple illustré, du spoofing d’adresse IP « @accountprotection.rnicrosoft.com » a été employé pour mieux tromper l’utilisateur. 

« Le lien dans l’email redirige l’utilisateur vers un site web demandant les informations d’identification du compte de l’utilisateur. En incitant les victimes à cliquer sur les liens frauduleux et à fournir leurs informations d’identification, Thallium peut alors se connecter au compte de la victime. En cas de compromission réussie d’un compte victime, Thallium peut consulter les emails, les listes de contacts, les rendez-vous du calendrier et tout autre élément intéressant le compte compromis. Cela crée également souvent une nouvelle règle de transfert de courrier dans les paramètres de compte de la victime. Cette règle de courrier transfère tous les nouveaux emails reçus par la victime vers des comptes contrôlés par Thallium. En utilisant ces règles, Thallium peut continuer à voir les e-mails reçus par la victime, même après la mise à jour du mot de passe de son compte. En plus de cibler les informations d’identification des utilisateurs, Thallium utilise également des logiciels malveillants pour compromettre les systèmes et voler des données. Une fois installé sur l’ordinateur d’une victime, ce malware exfiltre les informations, reste en veille en attendant des instructions supplémentaires. Les acteurs de la menace Thallium ont utilisé des logiciels malveillants connus appelés BabyShark et KimJongRAT », a précisé Tom Burt.

Let’s block ads! (Why?)

Powered by WPeMatico

Dépannage informatique à domicile

Dépannage informatique à domicile

PC urgence, le spécialiste du dépannage informatique à domicile sur Paris et Île-de-France, jour et nuit vous bénéficiez d'un dépannage informatique sans aucun surcoût et sans frais de déplacements. Contactez-nous au 09.70.40.81.52.
Protected by Copyscape Web Plagiarism Tool

Laisser un commentaire

Vous devez être connecté pour publier un commentaire.

Assistance à Distance

Prix:
39 €

Déduction - 50 %

Ouvert 24/24 Week end
border

immédiate

Rappel Gratuit

Prix:
GRATUIT

Elu Service de l'année

Prix:
2013

Rappel Gratuit

Prix:
GRATUIT

Assistance à Distance

Prix:
39 €