Les cybercriminels rivalisent d’ingéniosité pour piéger les internautes, et cette fois-ci, c’est à travers de fausses invitations Google Meet que des malwares circulent. Derrière ces liens de visioconférence se cache une menace sérieuse : des programmes malveillants conçus pour voler des données sensibles.
De fausses invitations Google Meet utilisées pour diffuser des malwares
Les boîtes mail sont actuellement envahies par de fausses invitations Google Meet, un stratagème visant à installer des malwares sur les ordinateurs des utilisateurs, une vraie tendance de piratage informatique en 2024. En apparence légitimes, ces invitations dissimulent des logiciels malveillants, principalement des « infostealers ». Ces programmes sont conçus pour infiltrer un système et voler des informations personnelles, notamment des identifiants de connexion et des données financières.
Ce type d’attaque utilise des techniques de manipulation psychologique pour inciter les victimes à cliquer sur des liens infectés. En recevant un mail contenant un lien vers une réunion Google Meet, de nombreux utilisateurs baissent leur garde, croyant à une demande légitime de visioconférence. Pourtant, derrière ces liens, ce sont des programmes malveillants qui attendent d’être exécutés.
ClickFix : la méthode utilisée par les hackers
Le mode opératoire de cette nouvelle campagne repose sur une méthode appelée ClickFix. Ce procédé utilise des fausses pages imitant Google Meet et simule des erreurs techniques liées à l’utilisation de la plateforme. Les pages affichent alors des messages d’erreur, indiquant des problèmes avec le micro ou le casque des utilisateurs, et les poussent à cliquer sur des boutons tels que « Essayer de réparer ».
En réalité, ces boutons déclenchent l’exécution d’un script malveillant. Sur Windows, cela conduit à la copie d’une commande malveillante dans le presse-papier, tandis que sur macOS, c’est un fichier DMG nommé « Launcher_v1.94 » qui est téléchargé. Les victimes sont ensuite incitées à exécuter ces fichiers ou commandes, permettant aux hackers de prendre le contrôle du système et de voler des données sensibles.
Les groupes cybercriminels derrière l’attaque
Les recherches menées par Sekoia, une société de sécurité spécialisée, ont permis d’identifier les malwares utilisés dans cette campagne. Sur Windows, les attaques sont menées par les logiciels malveillants Stealc et Rhadamanthys, tandis que sur macOS, c’est AMOS Stealer qui est à l’œuvre. Tous ces programmes sont des infostealers, conçus pour collecter des informations sensibles et les transmettre à des serveurs contrôlés par les pirates.
Derrière cette opération, on retrouve deux groupes de cybercriminels : Slavic Nation Empire (SNE) et Scamquerteo. Ces groupes sont spécialisés dans le vol de cryptomonnaies, en utilisant des malwares pour infiltrer les systèmes des utilisateurs et dérober des fonds numériques. Ces groupes appartiennent à des organisations plus vastes, appelées Marko Polo et CryptoLove, connues pour leurs activités illégales dans le domaine des cryptomonnaies.
Les autres plateformes visées par les attaques
Bien que Google Meet soit l’une des principales cibles de cette campagne, d’autres plateformes sont également utilisées pour diffuser ces malwares. Des faux messages invitant à rejoindre des réunions sur Zoom ou à consulter des documents via des services comme DocuLama et VerdaScript ont également été signalés. Les hackers se servent de canaux multiples pour piéger les internautes, en imitant des sites de téléchargement de jeux vidéo ou encore des navigateurs Web3.
Ces attaques montrent l’ampleur des menaces qui existent en ligne. Chaque clic sur un lien suspect peut entraîner l’infiltration de logiciels malveillants, d’où l’importance de rester vigilant face à ce type de message.
Comment éviter les pièges des fausses invitations ?
Pour se protéger de ces attaques, quelques mesures de prudence sont essentielles. Tout d’abord, il est recommandé de vérifier la légitimité des adresses mail qui envoient ces invitations. Les cybercriminels utilisent souvent des adresses très similaires à celles des services officiels, mais un examen attentif peut révéler des anomalies.
De plus, au lieu de cliquer directement sur un lien reçu par mail, il est plus sûr de se rendre manuellement sur le site officiel du service concerné. En accédant à Google Meet ou à toute autre plateforme via son URL officielle, vous évitez de tomber dans le piège des fausses pages créées par les hackers.
Enfin, en cas de doute, il vaut mieux ne pas exécuter de fichiers téléchargés à partir d’une invitation non sollicitée. La vigilance reste votre meilleure protection contre ce type de menace.