Les chercheurs de Cisco ont découvert qu’une pluie de cyberattaques déferlait en Europe depuis juillet 2024. Les offensives reposent sur un nouveau malware, considéré comme « sophistiqué » par les experts, Tornet. Le virus est utilisé comme porte dérobée pour pénétrer dans les systèmes informatiques de nombreuses entreprises européennes.
Cisco Talos discovered an ongoing malicious campaign operated by a financially motivated threat actor targeting users, predominantly in Poland and Germany. Read the blog on the new TorNet backdoor here: https://t.co/4uKxx983Ef pic.twitter.com/iHvoftkJNN
— Cisco Talos Intelligence Group (@TalosSecurity) January 28, 2025
À lire aussi : Des pirates utilisent des fichiers PDF malveillants pour piller vos données
Phishing et vol de données bancaires
Pour propager le malware sur le système ciblé, les hackers s’appuient sur des attaques de phishing. Calibrés pour piéger les employés, les mails de phishing prétendent provenir d’institutions financières et industrielles. Comme toujours, l’usurpation d’identité permet aux cybercriminels d’endormir la méfiance de leurs victimes. On trouve d’ailleurs ce mécanisme dans la plupart des attaques de phishing.
En l’occurrence, les mails se présentent comme « de fausses confirmations de transfert d’argent et de faux reçus de commande ». C’est l’idéal pour pousser la cible à répondre dans l’urgence, sans trop se poser de questions. Ces faux documents sont transmis dans une pièce jointe, compressée avec GZIP. La compression permet aux hackers d’échapper aux antivirus.
Par le biais des courriels, les pirates poussent la cible à installer le malware Tornet sur l’ordinateur de l’entreprise. Une fois dans le système, Tornet va télécharger et installer d‘autres logiciels malveillants, comme Agent Tesla, un cheval de Troie qui offre un accès à distance complet aux pirates. Dans la foulée, les pirates déploient Snake Keylogger, un voleur de données sensibles taillé pour exfiltrer des identifiants et des coordonnées bancaires.
Pour éviter d’être repéré, l’attaquant désactive temporairement la connexion de l’ordinateur avant d’y glisser la porte dérobée. Ensuite, il reconnecte la machine. Ce procédé lui permet de contourner les mécanismes de sécurité sur le cloud des entreprises. Enfin, les pirates se servent de la porte dérobée pour dissimuler toutes les communications avec un serveur à distance.
Les cybercriminels, motivés par l’appât du gain, s’en prennent surtout à des entreprises situées en Allemagne et en Pologne pour le moment. Ce sont essentiellement « les entreprises industrielles, les prestataires logistiques et les institutions financières » qui intéressent les hackers.
À lire aussi : Une cyberattaque ultra « sophistiquée » oblige Google à renforcer sa sécurité
La France dans le viseur des pirates ?
Comme l’explique le rapport de Cisco, il est possible que la France se retrouve dans le viseur des cybercriminels derrière ces attaques. Selon les chercheurs, c’est une « menace d’envergure qui pourrait désormais affecter la France ». En effet, l’Hexagone est « particulièrement vulnérable » à cette vague de cyberattaques.
« Son rôle central dans l’économie européenne en fait une cible privilégiée pour des hackers cherchant à perturber les secteurs stratégiques comme l’industrie manufacturière, la logistique et la finance », estime Cisco dans un communiqué adressé à 01Net, précisant qu’une « interruption des activités dans ces domaines pourrait avoir des répercussions majeures sur le plan national et européen ».
Cette nouvelle menace sort de l’ombre alors que la France est devenue l’une des cibles privilégiées des cybercriminels. Les innombrables fuites de données de ces dernières années ont contribué à mettre les entreprises françaises, et les particuliers, dans la ligne de mire des pirates.
Dans la plupart des cas, les attaques reposent en effet sur des données compromises en amont. C’est grâce à ces données, massivement partagées sur des marchés noirs, que les hackers façonnent leurs cyberattaques. C’est particulièrement le cas des attaques de phishing, dont l’efficacité dépend de la quantité d’informations entre les mains des truands.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
