LeakNet : ce ransomware piège via de faux sites web

Un ransomware qui passe par des sites légitimes piratés

LeakNet, un groupe de cybercriminels spécialisé dans le rançongiciel (ransomware, un logiciel qui chiffre vos fichiers et demande une rançon pour les récupérer), vient de changer de stratégie. Au lieu d'envoyer des emails piégés comme la plupart des hackers, ils s'attaquent maintenant à des sites web tout à fait normaux pour y glisser leur piège.

Concrètement, le groupe compromet des sites existants, ceux que vous visitez peut-être tous les jours, et y injecte du code malveillant. Quand vous tombez sur un de ces sites infectés, une fausse alerte apparaît. Elle vous demande de copier-coller une commande dans votre terminal ou votre barre de recherche Windows, sous prétexte de résoudre un problème technique. Cette technique porte un nom : ClickFix.

ClickFix, la manipulation qui fait cliquer

ClickFix, c'est du social engineering poussé à l'extrême. Le social engineering, pour faire simple, c'est l'art de manipuler quelqu'un pour qu'il fasse quelque chose de dangereux sans s'en rendre compte. Ici, la victime croit résoudre un problème, alors qu'elle ouvre la porte aux pirates.

Le principe est vicieux. Le site piraté affiche un message qui ressemble à une vraie alerte de navigateur ou de système. "Votre navigateur n'est pas à jour", "Un certificat de sécurité a expiré", ce genre de message crédible. Et la solution proposée ? Copier une commande. Sauf que cette commande télécharge et lance le malware.

Ce qui rend ClickFix redoutable, c'est que la victime participe activement à sa propre infection. Les antivirus ont du mal à bloquer une action que l'utilisateur a volontairement initiée.

Deno, un outil légitime détourné

Une fois la commande exécutée, LeakNet déploie un loader (un programme qui charge d'autres programmes malveillants) qui fonctionne entièrement en mémoire vive, la RAM de votre ordinateur. Autrement dit, il ne laisse quasiment aucune trace sur le disque dur, ce qui complique énormément la détection par les antivirus classiques.

Et le choix technologique est malin. Le loader est basé sur Deno, un environnement d'exécution JavaScript créé par Ryan Dahl, le même développeur qui avait lancé Node.js. Deno est un outil parfaitement légitime utilisé par des développeurs du monde entier. En l'utilisant, les pirates se fondent dans le décor. Leurs activités malveillantes ressemblent à du trafic normal pour les outils de surveillance réseau.

Une tendance inquiétante dans le monde du ransomware

LeakNet n'est pas le premier groupe à adopter ClickFix. Depuis quelques mois, plusieurs gangs de ransomware ont compris l'efficacité de cette technique. Les chercheurs en sécurité de The Hacker News, qui ont révélé cette campagne, observent que ClickFix est en train de devenir l'arme favorite des cybercriminels pour contourner les protections classiques.

Le problème va au-delà du simple ransomware. Si un site que vous visitez régulièrement peut être compromis sans que personne ne s'en aperçoive, la surface d'attaque devient immense. N'importe quel site web peut devenir un vecteur d'infection.

Comment se protéger

La règle d'or reste simple : ne jamais copier-coller une commande suggérée par un site web, surtout si elle doit être exécutée dans un terminal ou une invite de commande. Si un site vous demande de faire ça, fermez l'onglet immédiatement.

Gardez votre navigateur et votre système à jour, les vraies mises à jour se font automatiquement, pas via des pop-ups suspects. Et si vous gérez un site web, vérifiez régulièrement l'intégrité de vos fichiers. Un plugin de sécurité ou un audit régulier peut détecter des modifications suspectes avant qu'elles ne fassent des dégâts.