Un malware caché dans des photos de James Webb

Profitant de l'engouement pour les clichés spectaculaires de la Nasa, des pirates malveillants ont lancé une campagne de phishing en intégrant un malware dans une photo prise par le télescope James Webb.

Chaque fois que la Nasa (l'administration nationale de l'aéronautique et de l'espace américaine) dévoile de nouvelles photos prises par le télescope James Webb – un gigantesque instrument d'observation spatiale qui se trouve à plus de 1,5 million de kilomètres de la Terre – Internet rentre en ébullition. Tout le monde se précipite sur ces clichés spectaculaires et très détaillés qui nous font découvrir des événements inédits dans l'espace, en captant des informations invisibles à l'œil nu, loin dans la galaxie et dans le temps. Les internautes cherchent à les télécharger comme fonds d'écran pour ordinateur ou pour mobile (voir notre fiche pratique). Mais cet engouement n'a pas échappé aux pirates, qui ont décidé de se servir de ces images pour déjouer notre surveillance et infecter les appareils…

Photos James Webb : un logiciel malveillant dissimulé dans des fichiers JPG

Les experts en cybersécurité de Securonix ont mené l'enquête et ont découvert une campagne de phishing qui vise à installer un logiciel malveillant dans l'ordinateur, capable de surveiller et d'espionner l'activité de la victime à distance. L'entreprise a détaillé le mode d'infection dans un rapport du lundi 30 août. Nommée Go#Webfuscator, cette arnaque commence par un e-mail d'hameçonnage tout ce qu'il y a de plus ordinaire, qui encourage la victime à ouvrir la pièce jointe afin de découvrir une photo capturée par le télescope James Webb. Celle-ci montre l'amas de galaxie SMACS 0723, décrit par la Nasa comme "l'image infrarouge la plus profonde et la plus nette de l'univers lointain à ce jour". En réalité, il s'agit d'un fichier Word appelé Geos-Rates.docx, qui contient un code écrit dans le langage de programmation Golang. Celui-ci est très apprécié des hackers car il est difficile à détecter et fonctionne sur presque tous les systèmes de programmation.

Une fois le document téléchargé, le script malveillant Visual Basic va se télécharger. Si les macros – un outil de programmation informatique qui permet de synthétiser une série de commandes diverses en un seul et unique raccourci – sont activés, le fichier Word va effectivement afficher la fameuse photo, mais également exécuter un logiciel (msdlupdate.exe). Celui-ci est conçu pour recevoir des ordres et communiquer avec le serveur chiffré du pirate. Le hacker peut donc espionner et récupérer les données de l'appareil – type de système d'exploitation, version du kernel, applications installées – ainsi qu'en prendre le contrôle. Bien sûr, tout est fait un utilisant un camouflage qui rend les opérations indétectables. C'est pourquoi on ne le rappellera jamais assez : n'ouvrez jamais les pièces jointes et ne cliquez jamais  cliquer sur des liens dans un mail ou un SMS provenant d'un inconnu !