Une vaste campagne cyber d’une sophistication redoutable cible actuellement les professionnels de la tech à l’échelle mondiale en détournant les résultats de recherche Google. Selon une étude approfondie publiée par les chercheurs de Check Point, les attaquants ont déployé un écosystème de plus de 100 sites frauduleux parfaitement soignés pour usurper l’identité de logiciels open source et d’outils de sécurité hautement respectés par la communauté, à l’instar des plateformes de rétro-ingénierie Ghidra et dnSpy, ou de l’outil de reconnaissance réseau SpiderFoot. Le piège est si vicieux qu’il parvient à contourner les réflexes de vigilance les plus élémentaires des administrateurs système et des développeurs.
L’analyse technique révèle une méthode de détournement de clics particulièrement perverse. Lorsqu’un utilisateur atterrit sur l’un de ces faux portails, l’examen visuel ne montre aucune anomalie. Mieux encore, au survol de la souris, l’attribut affiché dans la barre d’état du navigateur indique une adresse parfaitement légitime, pointant par exemple vers le véritable répertoire des publications officielles sur GitHub. Pourtant, dès que l’internaute interagit avec la page, un script JavaScript invisible hébergé sur le réseau de distribution CloudFront d’Amazon intercepte l’événement en arrière-plan. Le script annule la navigation normale et bascule la session vers une infrastructure de routage malveillante, rendant la manipulation totalement invisible pour l’utilisateur.
Un système de tri dynamique pour masquer l’attaque
Le cœur de cette machinerie cyber repose sur un TDS (Traffic Distribution System), un serveur de distribution qui agit comme un aiguilleur intelligent et sélectif. Ce système applique de multiples couches de filtrage en vérifiant s’il s’agit de la première visite de l’internaute, en déployant une logique anti-bot, en détectant l’usage de VPN ou de centres de données, et en mesurant la fréquence des requêtes. C’est ici que réside la complexité de l’opération : les outils usurpés comme Ghidra ou SpiderFoot sont par nature multiplateformes, massivement exploités sous Linux et macOS par les analystes.
Pourtant, les charges utiles finales de l’infrastructure visent exclusivement l’environnement Windows. Le système de tri analyse le profil de la victime à la volée. Si le visiteur utilise Linux, navigue depuis un environnement de recherche suspect ou rafraîchit simplement sa page, le script désactive le piège et le laisse télécharger le vrai fichier sain depuis le GitHub officiel. Ce comportement rend l’analyse et la reproduction de l’infection extrêmement complexes pour les équipes de sécurité, le piège ne se refermant sélectivement que sur les cibles Windows idéales.
SessionGate, RemusStealer et AnimateClipper : un arsenal redoutable
Pour les victimes qui franchissent les filtres du système de routage, les chaînes de redirection débouchent sur trois familles distinctes de logiciels malveillants. La première, baptisée SessionGate, est un framework de chargement inédit et lourdement obfusqué. Ses concepteurs y ont injecté du code inutile et des structures mathématiques bidon pour saturer la mémoire des outils de décompilation des chercheurs, allant jusqu’à insérer des blocs de données chiffrées au milieu des fonctions pour saboter l’analyse statique. Ce composant sert à installer silencieusement des applications indésirables en arrière-plan.
La seconde menace est RemusStealer, un outil d’exfiltration de données de nouvelle génération repéré sur les forums clandestins russophones. Ce programme cible plus de 20 navigateurs et environ 300 extensions logicielles, concentrant ses efforts sur le vol de portefeuilles de cryptomonnaies, de gestionnaires de mots de passe et de modules d’authentification à double facteur. Enfin, la campagne distribue AnimateClipper, un logiciel malveillant spécialisé dans le détournement de transactions financières. En surveillant en permanence le presse-papiers de Windows, il remplace instantanément l’adresse d’un portefeuille crypto copiée par celle de l’attaquant au moment du collage. Ce clipper présente la particularité de mettre à jour l’adresse de son serveur de commande en interrogeant directement un contrat intelligent sur le réseau public de test de la Binance Smart Chain.
Les données de télémétrie issues de VirusTotal témoignent de l’ampleur de cette campagne, avec déjà plus de 5 000 soumissions d’échantillons et une activité particulièrement intense enregistrée en France, en Allemagne, en Pologne ou au Royaume-Uni.
Comme le détaillent les conclusions de la recherche d’envergure menée par Check Point, l’infrastructure globale semble avant tout configurée comme un réseau de monétisation de trafic de grande échelle, dont les opérateurs revendent les accès à des distributeurs de malwares. Une menace d’autant plus ironique qu’elle piège les professionnels du secteur sur leur propre terrain. Pour se prémunir de telles mésaventures, la règle d’or reste plus que jamais d’ignorer les premiers résultats sponsorisés ou génériques des moteurs de recherche et de se rendre manuellement sur les dépôts de code sources officiels.
🦋 L’actualité de l’open source dans votre flux. Suivez Goodtech sur Bluesky (ou vos applications AT Protocol préférées) grâce à notre bot officiel. Suivez, partagez, abonnez-vous à @goodtech.info !
