Les utilisateurs sinophones sont de plus en plus ciblés par des menaces cybernétiques sophistiquées, récemant une nouvelle vague d’attaques à travers des programmes d’installation de VPN malveillants a émergé, mettant en lumière l’importance croissante de la sécurité numérique. Cette activité, menée par le groupe baptisé ‘Void Arachne’, utilise des fichiers MSI corrompus pour déployer un cadre de commande et contrôle nommé Winos 4.0, soulignant ainsi un nouveau niveau de risque dans le domaine de la cybersécurité en Chine.
Opération malveillante de Void Arachne
Propagation via des logiciels populaires
Identifiée par la firme de cybersécurité Trend Micro au début avril 2024, cette campagne malicieuse cible notamment les utilisateurs sinophones en se faisant passer pour des installateurs de logiciels largement répandus tels que Google Chrome et des services VPN comme LetsVPN et QuickVPN. Cette technique de tromperie est également appliquée au téléchargement de packs de langue pour Telegram, spécifiques au mandarin simplifié.
Techniques de SEO et réseaux sociaux
L’équipe de Trend Micro révèle que Void Arachne se sert de techniques de SEO « black hat » pour mieux référencer ses liens malicieux dans les résultats de recherche, en plus d’une diffusion active sur les plateformes de médias sociaux et de messagerie. Les fichiers, souvent sous forme d’archives ZIP, sont soit directement hébergés sur des infrastructures dédiées soit partagés via des chaînes Telegram à thème chinois.
Les ramifications de l’attaque
Implications des logiciels espions et des modifications système
Une fois installé, le logiciel malveillant modifie les règles du pare-feu pour autoriser le trafic associé au malware, exposant l’utilisateur à des risques accrus. Le malware installe également un chargeur qui décrypte et exécute une charge utile en mémoire, garantissant ainsi sa persistance sur l’hôte tout en préparant la mise en oeuvre du cadre Winos 4.0.
Capacités de Winos 4.0 et risques associés
Le cadre Winos 4.0, programmé en C++, est extrêmement polyvalent, offrant des fonctions comme la gestion de fichiers, le contrôle de la webcam, la capture d’écran, l’enregistrement via le microphone et l’accès à distance. Cette intrication est rendue possible grâce à un système basé sur des plugins, permettant à Void Arachne d’adapter ses attaques en fonction de ses besoins.
La surveillance stricte de l’internet en Chine et l’intensification de l’utilisation des VPN là-bas ont augmenté l’attractivité de ces vecteurs d’attaque pour les menaces comme Void Arachne. En effet, cette sensibilisation croissante soulève des questions de cybersécurité critiques pour les utilisateurs chinois et global.
Les menaces comme celles posées par Void Arachne requièrent une défense approfondie et personnalisée, comme les solutions avancées de protection contre les malwares et de détection des intrusions offertes par notre société CyberCare, conçues pour parer efficacement à ces genres de tactiques d’attaque sophistiquées.
