Les cabinets d'avocats ciblés par les campagnes de logiciels malveillants GootLoader et FakeUpdates

Lancement de deux campagnes

Les cabinets juridiques sont une des principales cibles des cybercriminels du fait qu'ils ont accès à des informations sensibles. D'après la société de cybersécurité eSentire, six cabinets d'avocats différents ont été visés en janvier et février 2023 par deux différentes campagnes d'attaques qui ont déployé les logiciels malveillants GootLoader et SocGholish. Les attaques ont fait appel à des techniques perfectionnées pour pénétrer dans les réseaux et les systèmes des cabinets d'avocats.

GootLoader est un téléchargeur initialement identifié fin 2020. Depuis, il a été utilisé pour diffuser un large éventail de charges utiles secondaires, telles que Cobalt Strike et des rançongiciels. Le logiciel malveillant utilise l'optimisation pour les moteurs de recherche (SEO) afin d'orienter les victimes qui recherchent des documents professionnels vers des sites de téléchargement à la dérobée qui diffusent le logiciel malveillant en JavaScript.

Dans la première campagne, les attaquants ont infecté des sites web WordPress vulnérables pour y ajouter de nouveaux articles de blog contenant des mots-clés légaux. Les blogs infectés ont servi à attirer des recrues légales et à améliorer la position des sites web dans les moteurs de recherche. Les victimes ont été dirigées ensuite vers un faux site web de forum dans lequel elles ont été incitées à télécharger un soi-disant modèle d'accord ou de contrat qui était en réalité GootLoader.

Dans la deuxième campagne, les pirates ont fait appel au logiciel malveillant SocGholish, aussi connu sous le nom de FakeUpdates, pour cibler les employés de cabinets d'avocats et d'autres professionnels. Ce dernier donne aux cybercriminels la possibilité de mener des opérations de reconnaissance et de lancer d'autres charges utiles, telles que Cobalt Strike et le rançongiciel LockBit.

Les attaques ont utilisé des domaines infectés, notamment le site web d'une société de notaires de Miami qui avait été piraté. Le site web piraté offrait la possibilité au virus SocGholish de mettre en place une notification pop-up conseillant aux utilisateurs de mettre à jour leur navigateur Chrome. Ceux qui sont à l'origine de SocGholish infectent un nombre important de sites web à faible trafic pour s'emparer de sites web à forte valeur ajoutée, tels que les cabinets d'avocats.

Les informations sensibles sur les clients, les personnes et les utilisateurs constituent un objectif attrayant pour les pirates informatiques et d'autres cybercriminels. Ce type de campagne, qui consiste à propager des voleurs d'informations, est courant. D'autres attaques visant des entreprises particulières comme Google ou des plateformes de réseaux sociaux risquent de divulguer des détails sur les données des utilisateurs et de conduire à des escroqueries directes.

Focalisation sur l'espionnage

Les attaques menées contre des cabinets d'avocats par le biais des logiciels malveillants GootLoader et SocGholish suscitent beaucoup d'inquiétude, car elles semblent viser des opérations d'espionnage plutôt qu'un gain financier. Les pirates informatiques n'ont pas déployé de rançongiciel, préférant une activité pratique. Cela laisse supposer que les pirates ont pu diversifier leur champ d'action pour y inclure des opérations de cyberespionnage. Comme le fait remarquer le chercheur d'eSentire Keegan Keplinger :

Prior to 2021, email was the primary infection vector used by opportunistic threat actors. From 2021 to 2023, browser-based attacks have steadily been growing to compete with email as the primary infection vector.

Cette tendance est due principalement à GootLoader, SocGholish, SolarMarker et à de récentes campagnes utilisant Google Ads pour faire émerger les premiers résultats de recherche.

Hormis une éventuelle fuite d'informations sensibles, les cabinets d'avocats et autres entreprises visées par des attaques de logiciels malveillants pourraient être confrontés à de graves conséquences juridiques. GootLoader a recours à des pratiques frauduleuses en matière d'optimisation des moteurs de recherche pour faire figurer une page dans les résultats de recherche Google, ce qui expose les sites web qui l'utilisent à des risques d'attaques de logiciels malveillants.

Le problème réside dans le fait que ce logiciel de téléchargement altère les sites web actuels pour proposer différents sites web chaque fois que votre lien est visité, ce qui modifie la perception qu'en ont certaines personnes. Cette situation peut entraîner de sévères conséquences et le risque de potentielles tentatives d'hameçonnage, puisque GootLoader dirige les utilisateurs vers une page qui pourrait servir de «piège» ou d’«appât» pour les utilisateurs imprudents.

Les mesures de prévention à prendre

Pour prévenir les attaques de GootLoader et d'autres logiciels malveillants, les organisations doivent adopter des mesures préventives, notamment en évitant de télécharger des modules d'extension affectés, plus précisément le module d'extension GootLoader en soi.

La prévention des désastres avec votre système de gestion de contenu et vos pages web inclut aussi l'observation d'indications d'avertissement telles qu'un fichier JavaScript exécuté par Wscript et un fichier appelé «agreement.js» (pour les utilisateurs de sites en anglais). En outre, les organisations doivent garder leurs logiciels à jour, utiliser l'authentification à deux facteurs et mettre en œuvre des protocoles de sécurité adéquats.

En conclusion, les cabinets juridiques et les entreprises doivent faire preuve de vigilance vis-à-vis de la menace accrue que représentent les attaques de logiciels malveillants. Les campagnes GootLoader et SocGholish illustrent les dangers potentiels que présentent ces souches de logiciels malveillants perfectionnés.