Des pirates ciblent les recruteurs en se faisant passer pour des candidats

Des pirates ciblent les recruteurs en se faisant passer pour des candidats

Des pirates particulièrement culottés contactent directement des entreprises qui recrutent en se faisant passer pour des candidats. Leur but ? Inciter leurs cibles à télécharger un CV contenant un dangereux malware.

On sait que les escrocs ne manquent jamais d'imagination pour monter des arnaques. Une nouvelle preuve nous en est donnée aujourd'hui avec une méthode originale et particulièrement osée. La société de sécurité informatique Proopoint vient ainsi de dévoiler, dans une note de sécurité datée du 12 décembre 2023, un nouveau genre d'attaque ciblant les entreprises et plus particulièrement les recruteurs. La technique semble bien ficelée et la menace suffisamment inquiétante pour inciter les acteurs potentiellement visés à redoubler de vigilance dans leurs échanges avec des tiers.

L'objectif des attaquants est toujours le même en pareil cas : pousser leur cible à télécharger un logiciel malveillant afin d'obtenir un accès au système informatique de l'entreprise, accès qui pourra ensuite être revendu à d'autres acteurs malveillants, utilisé pour dérober des données sensibles ou bien pour chiffrer le système d'information afin d'exiger une rançon.

La nouveauté réside ici dans la méthode d'ingénierie sociale utilisée pour parvenir à cet objectif, qui s'avère relativement élaborée et à même de contourner la vigilance des cibles potentielles. Par ailleurs, le logiciel malveillant installé une fois l'attaque réussie semble particulièrement difficile à détecter par les dispositifs de sécurité tels que les antivirus.

Candidat pirate : une attaque par ingénierie sociale sophistiquée

Le groupe de pirates identifié par Proofpoint et à l'origine de cette nouvelle méthode d'attaque se nomme TA4557. Il menait déjà des actions visant les entreprises et les recruteurs depuis au moins l'année 2022, mais se contentait jusque-là de créer de faux profils de candidats, contenant des liens menant vers des sites piégés, sur les sites et les applications d'offres d'emploi.

Désormais, le groupe TA4557 prend directement contact par courriel avec des recruteurs, en se faisant passer pour des candidats intéressés par des offres d'emploi spécifiques. Une fois que la cible a répondu, les pirates entament alors un échange dont le but est d'amener leur victime à télécharger un logiciel malveillant à leur insu. Pour ce faire, les attaquants invitent le recruteur à consulter le CV du faux candidat sur une "page web personnelle", via un lien présent soit dans le corps du courriel, soit dans un document attaché au message. Mieux, afin de contourner les systèmes de détection des liens suspects mis en place par les services de messagerie, les pirates peuvent demander au recruteur de se rendre sur la "page Web personnelle" en copiant le nom de domaine de l'adresse électronique du faux candidat directement dans leur navigateur.

Si le recruteur suit les instructions de l'attaquant, il se retrouve alors sur une page qui imite en effet le site personnel d'un candidat, et dont le contenu s'adapte par ailleurs automatiquement aux informations personnelles du faux candidat. La page web frauduleuse semble ensuite effectuer un scan afin de déterminer si l'ordinateur de la cible peut être compromis et, dans l'affirmative, invite le recruteur à compléter un captcha afin de pouvoir télécharger le CV du faux candidat, sous la forme d'un fichier ZIP contenant un logiciel malveillant.

© CCM

Cette méthode d'attaque relativement sophistiquée semble redoutable et à même de duper les utilisateurs les plus vigilants. Dans la plupart des tentatives d'escroquerie ou de piratage, les attaquants contactent une cible passive, qui peut être sur ses gardes face à une prise de contact inattendue. Dans le cas présent, la victime potentielle est un recruteur en recherche active qui n'a donc pas de raison particulière d'être méfiant lorsqu'il est contacté par un candidat intéressé. Par ailleurs, l'utilisation d'une page web personnelle en tant que CV est devenue une pratique très répandue, car elle permet aux candidats de se démarquer et de faire la démonstration de leurs compétences en matière de création graphique, de contenu éditorial ou de développement web par exemple. Tous les ingrédients sont donc réunis pour que la tentative de manipulation ne soit pas perçue par la cible de l'attaque et que celle-ci suive sans se méfier les instructions des pirates.

More_Eggs : un  malware difficile à détecter

Si l'attaque a réussi et que la victime a malheureusement téléchargé le fichier Zip piégé, un logiciel malveillant (malware) est alors installé à son insu sur sa machine. Ce programme a pour objectif d'ouvrir une porte dérobée (backdoor) connue sous le nom de More_Eggs sur le système infecté, offrant ainsi un accès complet à l'ordinateur de la victime. Le programme malveillant semble par ailleurs utiliser plusieurs techniques et stratégies pour échapper à l'analyse des outils anti-virus et aux méthodes d'isolation des processus de type bac-à-sable (sandbox).

Dans sa note de sécurité, Proofpoint détaille précisément le fonctionnement du malware et la série d'actions effectuées sur le système de la victime pour ouvrir la backdoor, mais n'indique malheureusement pas de contre-mesures techniques à même d'empêcher ou d'interrompre l'exécution du programme. Comme souvent avec ce type d'attaque par manipulation, les meilleures stratégies pour s'en prémunir demeurent d'ordre organisationnel et comportemental. Proofpoint conclu d'ailleurs sa note en invitant les entreprises et les organisations potentiellement concernées à accorder une attention particulière à la sensibilisation et la formation de tous les acteurs de la chaîne de recrutement.