Une nouvelle campagne d’usurpation d’identité ciblée sur les utilisateurs de Bitdefender
Des chercheurs en cybersécurité ont découvert une campagne malveillante sophistiquée dans laquelle des cybercriminels ont cloné un site officiel de l’éditeur antivirus Bitdefender pour inciter les internautes à télécharger un cheval de Troie d’accès à distance connu sous le nom de Venom RAT.
Selon le rapport du DomainTools Intelligence (DTI), cette opération malveillante démontre une volonté claire de compromettre les identifiants des victimes, d’accéder à leurs portefeuilles de cryptomonnaies et de revendre potentiellement l’accès à leurs systèmes.
Un site frauduleux qui mime Bitdefender pour distribuer un logiciel malveillant
Le faux site, hébergé à l’adresse bitdefender-download[.]com, imite fidèlement l’apparence du site officiel de Bitdefender. Il invite les visiteurs à télécharger une version Windows de l’antivirus. En cliquant sur le bouton “Download for Windows”, l’utilisateur télécharge un fichier depuis un dépôt Bitbucket redirigeant vers un espace Amazon S3. Le dépôt Bitbucket a, depuis, été désactivé.
Le fichier compressé, intitulé BitDefender.zip, contient un exécutable malveillant StoreInstaller.exe. Ce dernier embarque plusieurs charges utiles, notamment :
-
Le cheval de Troie Venom RAT
-
Le framework open-source de post-exploitation SilentTrinity
-
Le stealer StormKitty, utilisé pour voler des identifiants et des données sensibles
Qu’est-ce que Venom RAT ?
Venom RAT est une variante avancée de Quasar RAT. Il permet à l’attaquant de maintenir un accès persistant à distance sur le système de la victime, d’exfiltrer des données confidentielles et d’exécuter des commandes à distance.
DomainTools précise que le faux site partage des similarités techniques et temporelles avec d’autres campagnes de phishing ciblant des institutions financières comme la Banque Royale du Canada ou des services IT de confiance comme Microsoft. Ces opérations cherchent à récolter des identifiants en exploitant la notoriété de grandes marques.
Une attaque modulaire et difficile à détecter
L’un des aspects notables de cette campagne est l’usage d’outils open-source imbriqués. Venom RAT infiltre discrètement le système, StormKitty collecte les données sensibles (mots de passe, portefeuilles crypto), et SilentTrinity permet à l’attaquant de garder un contrôle durable sans être détecté.
Cette approche modulaire rend les attaques plus efficaces, adaptables et difficiles à repérer par les solutions de sécurité traditionnelles.
D’autres campagnes similaires détectées
Cette découverte intervient peu après une alerte de Sucuri sur une campagne “ClickFix” utilisant de faux écrans Google Meet. Ces pages frauduleuses incitent les utilisateurs à exécuter une commande PowerShell, leur promettant une correction d’un prétendu problème de microphone.
Par ailleurs, une autre campagne d’hameçonnage sophistiquée exploitant la plateforme AppSheet de Google a été signalée. Celle-ci vise à contourner les mécanismes de sécurité des emails (SPF, DKIM, DMARC) en envoyant des messages depuis un domaine valide, noreply@appsheet[.]com, dans le but d’usurper l’identité de Meta (Facebook). Les liens piégés redirigent vers des pages de type adversary-in-the-middle (AitM), capables de voler identifiants et codes 2FA en temps réel.
Conclusion : rester vigilant face aux campagnes de phishing avancées
Cette série de campagnes démontre la sophistication croissante des menaces en ligne. En s’appuyant sur des outils open-source et en exploitant la confiance des utilisateurs envers des marques établies, les cybercriminels redoublent d’ingéniosité.
Pour se protéger, il est essentiel :
-
De vérifier l’authenticité des sites visités
-
De ne jamais télécharger d’application en dehors des sources officielles
-
D’utiliser des solutions de sécurité à jour
-
De renforcer la sensibilisation des utilisateurs aux techniques de phishing
La vigilance collective et la mise en œuvre de bonnes pratiques de cybersécurité restent les meilleurs remparts face à ces attaques ciblées.