Soyez prudent lorsque vous ouvrez la candidature de « Le Xuan Son ».

Une nouvelle campagne de cyberattaques cible des entreprises au Vietnam. Photo d'illustration : Bloomberg.

Des chercheurs en sécurité de SEQRITE Labs ont découvert une campagne de cyberattaques sophistiquée. Baptisée « Opération Voleur de Hanoï », cette campagne cible les services informatiques et les agences de recrutement au Vietnam en falsifiant des CV.

Découvert le 3 novembre, ce type d'attaque informatique consistait à diffuser un logiciel malveillant dissimulé sous l'apparence d'un CV. Les pirates visaient à infiltrer le réseau interne, à prendre le contrôle du système et à dérober des données clients ainsi que des informations confidentielles.

Comment fonctionnent les logiciels malveillants

D'après les experts en sécurité, l'attaquant a envoyé une série de courriels contenant des candidatures, avec en pièce jointe le fichier « Le Xuan Son CV.zip ». Une fois décompressé, ce fichier contenait deux fichiers : « CV.pdf.lnk » et « offsec-certified-professional.png ».

Comme il est dissimulé sous forme d'icône PDF et PNG, les utilisateurs pourraient le confondre avec un CV classique. Un simple clic activera le virus LOTUSHARVEST, spécialisé dans la collecte d'informations telles que les mots de passe et l'historique de navigation, puis leur envoi au serveur du pirate.

Selon GBHackers , le faux CV nommé Le Xuan Son, originaire de Hanoï, possède un compte GitHub depuis 2021. Cependant, les chercheurs ont découvert que ce compte ne publiait aucune information, probablement uniquement pour servir la campagne d'attaques.

L'attaque se déroule en trois étapes. Après l'ouverture du fichier LNK, elle déclenche une commande spéciale via l'outil ftp.exe intégré à Windows. Cette technique ancienne, désormais peu courante, permet au logiciel malveillant de contourner les contrôles de sécurité de base.

Des pirates informatiques trompent des entreprises en envoyant des CV sous le nom de « Le Xuan Son ». Photo : SEQRITE .

Dans la phase 2, le système est toujours trompé et croit qu'il s'agit d'un fichier PDF ou d'un fichier texte brut. Cependant, une analyse plus approfondie a révélé aux chercheurs que le code malveillant était inséré de manière dissimulée avant le début du fichier PDF.

Le logiciel malveillant s'est immédiatement mis au travail, renommant l'outil certutil.exe de Windows pour éviter d'être détecté, puis extrayant les données contenant le package de fichiers malveillants final. La ligne de commande a ensuite renommé le fichier en « CV-Nguyen-Van-A.pdf » pour tromper le système, puis a extrait et déchiffré un fichier nommé « MsCtfMonitor.dll », qu'elle a placé dans le dossier C:\ProgramData.

En copiant le fichier ctfmon.exe du dossier System32 vers le même dossier, l'attaquant a exploité la technique de détournement de DLL, ce qui a conduit le système à exécuter le fichier malveillant au lieu du programme normal.

Enfin, le logiciel malveillant LOTUSHARVEST est activé pour dérober des informations. Ces données comprennent les identifiants de connexion aux navigateurs Chrome et Edge, ainsi que les 20 URL les plus récemment visitées, y compris les métadonnées associées.

Les données volées sont transmises via l'API WinINet de Windows à l'infrastructure du pirate. Le logiciel ajoute également le nom de l'ordinateur et le nom d'utilisateur afin de créer un profil d'identité sur le serveur.

Les entreprises vietnamiennes doivent renforcer leur protection

Le point le plus inquiétant de cette campagne d'attaques est que LOTUSHARVEST est capable de se dissimuler et d'opérer de manière autonome. Ce logiciel malveillant exploite le mécanisme de chargement de bibliothèques pour maintenir un contrôle à long terme et accéder aux comptes et données sensibles, échappant ainsi à la protection des mesures de sécurité classiques.

Selon cette évaluation, les données volées peuvent devenir la « clé » permettant aux pirates informatiques d'étendre leur infiltration, de déployer des outils dangereux et de transformer les entreprises en cibles d'attaques multicouches ou d'extorsion dans les étapes suivantes.

« Tout porte à croire que la campagne des voleurs de Hanoï a été méticuleusement planifiée, ciblant directement les entreprises vietnamiennes. »

« Profitant du service de recrutement, qui reçoit régulièrement des candidatures externes mais n'est pas pleinement sensibilisé à la cybersécurité, les pirates utilisent de faux fichiers sous forme de CV ou de documents et peuvent se transformer continuellement en de nombreuses variantes, rendant le risque d'infection imprévisible », a déclaré M. Nguyen Dinh Thuy, expert en analyse de logiciels malveillants chez Bkav.

Les scripts extraient l'historique de connexion et d'accès du logiciel malveillant. Photo : SEQRITE .

Selon Bkav, des entreprises vietnamiennes ont été victimes de cette campagne d'attaques. Compte tenu de la dangerosité de LOTUSHARVEST et de la campagne « Voleur de Hanoï », les utilisateurs doivent faire preuve d'une extrême vigilance concernant les documents reçus par courriel.

Les entreprises et les organisations doivent organiser régulièrement des formations pour leurs employés, les sensibiliser et les inciter à la vigilance face aux arnaques en ligne. Leurs systèmes de contrôle interne doivent être renforcés, notamment en surveillant les bibliothèques et les fichiers inhabituels ou suspects.

Les outils par défaut du système d'exploitation ne répondent qu'aux besoins de protection de base et sont insuffisants pour lutter contre les logiciels malveillants et les virus modernes capables de se dissimuler, de persister longtemps et de s'infiltrer profondément dans le système. Il est donc nécessaire d'installer un système de surveillance des courriels et d'utiliser un logiciel antivirus sous licence pour une protection optimale.

Source : https://znews.vn/canh-giac-khi-mo-cv-xin-viec-cua-le-xuan-son-post1608612.html