Proofpoint Inc., société leader en matière de cybersécurité et de conformité, publie les résultats de sa dernière étude révélant une augmentation notable des fausses notifications de mise à jour navigateur. Une menace observée dans plusieurs pays d’Europe dont la France.

Toutes les techniques sont bonnes pour abuser de la confiance des utilisateurs finaux. Et celle que nous plaçons presque aveuglément envers les plateformes de services tels que Google Chrome ou Firefox, est une aubaine pour les cybercriminels qui parviennent aisément à tromper leurs victimes grâce à des techniques rodées d’ingénierie sociale.

Êtes-vous sûr que votre navigateur est à jour ?

Ces « attaques » apparaissent sur des sites web déjà compromis et prennent la forme d’une alerte venant directement du navigateur utilisé, qui peut être Google Chrome, Firefox ou encore Edge. Ces notifications d’apparence familière indiquent que le navigateur en question nécessite d’être mis à jour, invitant l’utilisateur à cliquer sur un lien de téléchargement qui, sans le savoir, cache un logiciel malveillant.

Le plus souvent en anglais, on observe cette fois-ci des attaques en français, en espagnol, en allemand et en portugais.

Figure 1 : capture d’écran saisi pas la Threat Research team de Proofpoint

Déjà utilisée par TA569 pour diffuser le logiciel malveillant SocGolish, Proofpoint a récemment identifié de nouveaux groupes ayant adopté cette méthode dont : RogueRaticate, SmartApeSG et ClearFake. Si chacun déploie ses propres campagnes pour diffuser leurs pièges sous forme de notification frauduleuse, celles-ci présentent des caractéristiques communes qui suivent un même schéma.

Figure 2 : chaîne d’attaque identifiée par Proofpoint

Les chercheurs de chez Proofpoint expliquent, « nous avons identifié une augmentation du nombre d’acteurs utilisant cette technique de fausse mise à jour pour tromper les utilisateurs finaux et les inciter à télécharger leur logiciel infecté.

Une forme d’attaque unique, qui associe technicité et ingénierie sociale pour réussir à convaincre leurs cibles de l’authenticité du message. Bien qu’elle ressurgisse actuellement, cette technique n’est pas nouvelle et a déjà été adaptée à d’autres logiciels malveillants dans le but de voler des données, accéder au contrôle à distance d’un ordinateur ou même pour les rançongiciels. »

Cette technique s’avère particulièrement efficace, car elle exploite des enseignements tirés des formations en cybersécurité qui incitent les utilisateurs à n’accepter les mises à jour que de sites connus et fiables.

En compromettant ces sites de confiance et grâce à des techniques de vérification discrètes, les leurres passent inaperçus. Une réussite qui souligne la difficulté qu’ont les équipes de sécurité à détecter, prévenir et surtout bien communiquer le risque chronique auquel les utilisateurs finaux sont exposés.

« Cette recrudescence s’explique notamment par son efficacité, car les acteurs de la menace exploitent la volonté des utilisateurs de bien faire. En voulant sécuriser leur environnement de travail et protéger leurs informations, ils font finalement l’inverse et s’exposent aux risques d’infection et de propagation d’un logiciel malveillant » précisent les chercheurs de chez Proofpoint.

Quels conseils pour pallier ce risque ?

Face à cette menace croissante, la meilleure solution reste encore la défense en profondeur. Les organisations doivent mettre en place des systèmes de détection en réseau et protéger les points d’accès. Bien qu’elle ne soit pas infaillible, une formation spécifique et de la prévention sont également vitales pour permettre aux utilisateurs d’être en capacité, justement, d’identifier ce type d’activités suspectes et de les signaler aux équipes de sécurité.

Vous trouverez l’intégralité de cette recherche sur le site de Proofpoint :