Les chercheurs en sécurité de la firme américaine FireEye ont découvert l’existence d’un groupe de trois malwares inédits.

Baptisés Doubledrag, Doubledrop et Doubleback, ces trois nouveaux types de virus ont infecté des ordinateurs du monde entier. Les trois malwares ont été détectés en décembre 2020 par l’équipe de Mandiant, une solution de cybersécurité de FireEye. D’après les chercheurs, les hackers qui les ont conçus sont « expérimentés et disposant de ressources importantes ».

Deux vagues d’attaques auraient ciblé des entreprises partout dans le monde. Pour diffuser les malwares, les pirates ont procédé à une vaste campagne de phishing, ou d’hameçonnage en français. La pratique consiste à se faire passer pour un interlocuteur de confiance pour récupérer des données sensibles, ou déposer un fichier malveillant sur un appareil. La campagne menée par les attaquants était extrêmement sophistiquée, si bien que des adresses mail différentes étaient presque systématiquement utilisées et que les messages s’adaptaient aux cibles.

Les hackers se faisaient passer pour des professionnels du secteur ciblé, en utilisant des termes corrects et vraisemblables. Les secteurs varient de la médecine, les transports, la défense, etc. Les attaquants ont fini par réussir à compromettre le nom de domaine d’une entreprise américaine de services de chauffage et de climatisation pour utiliser leurs adresses mail et lancer des attaques de phishing plus vraies que nature.

Cette deuxième vague d’attaque aurait touché au moins 22 organisations. Les e-mails envoyés sous le nom de l’entreprise de chauffage contenaient un lien de téléchargement vers des fichiers infectés, dont un document PDF illisible et un autre fichier douteux au format JavaScript sur lequel les individus peu avertis auraient pu cliquer en espérant lire du contenu. Les malheureux qui ont cliqué sur le fichier en question n’ont rien vu, mais en arrière-plan ce dernier déploie un des trois malwares : le téléchargeur Doubledrag. Ce dernier est chargé de télécharger le deuxième fichier malveillant : le Doubbledrop. Celui-ci crée une porte dérobée sur l’ordinateur infecté, troisième élément du virus nommé Doubbleback. Une porte dérobée, ou backdoor, sert à envoyer ou recevoir des informations depuis un appareil à l’insu de son utilisateur. Il permet aux hackers d’accéder à un réseau local ou de récupérer des informations sensibles tapées au clavier, par exemple.

Selon l’équipe de chercheurs en cybersécurité, le virus n’était pas simple à détecter : « Un fait intéressant concernant l’ensemble de l’écosystème est que seul le téléchargeur existe dans le système de fichiers. Le reste des composants est sérialisé dans la base de données du registre, ce qui rend leur détection un peu plus difficile, notamment par les moteurs antivirus basés sur les fichiers », affirme FireEye. La firme pense également que le virus est encore en cours de développement. De plus, ni l’identité des hackers ni leurs motifs ne sont connus. Mais, selon FireEye, tout laisse à croire que les attaquants cherchaient à dérober de l’argent.