Les chercheurs en cybersécurité alertent sur deux nouvelles campagnes actives de cyberattaques ciblant l’accès distant, exploitant à la fois des outils VPNTunnel sécurisé entre deux points à travers Internet. Se connecter à distance au SI de l’entreprise. ProtonVPN légitimes et des techniques de détournement de signatures numériques.
Une version trojanisée de SonicWall NetExtender détectée
Des acteurs malveillants ont récemment diffusé une version trojanisée de l’application VPNTunnel sécurisé entre deux points à travers Internet. Se connecter à distance au SI de l’entreprise. ProtonVPN SonicWall NetExtender, un outil SSL VPNTunnel sécurisé entre deux points à travers Internet. Se connecter à distance au SI de l’entreprise. ProtonVPN largement utilisé pour permettre aux collaborateurs d’accéder à distance aux ressources internes de leur entreprise.
Détail de l’attaque
Baptisée SilentRoute par Microsoft, cette campagne vise les utilisateurs cherchant à télécharger NetExtender via des moteurs de recherche comme Google ou Bing.
Méthodes d’infection utilisées :
Création de faux sites web imitant les portails officiels de téléchargement
Techniques de SEO poisoning, malvertising, spear-phishing ou diffusion sur les réseaux sociaux
Usurpation de la dernière version officielle : Le malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec se présente comme la version 10.3.2.27 de NetExtender
Fait inquiétant : L’installateur compromis est signé numériquement par une société légitime, CITYLIGHT MEDIA PRIVATE LIMITED, ce qui renforce la crédibilité apparente du fichier aux yeux des victimes.
Fonctionnement du malware
Deux exécutables clés ont été modifiés :
NeService.exe
NetExtender.exe
Ces binaires altérés contournent la validation des certificats internes de NetExtender et exfiltrent les informations de configuration VPNTunnel sécurisé entre deux points à travers Internet. Se connecter à distance au SI de l’entreprise. ProtonVPN vers un serveur distant contrôlé par les attaquants (132.196.198[.]163 sur le port 8080).
“Dès que l’utilisateur entre ses identifiants VPNTunnel sécurisé entre deux points à travers Internet. Se connecter à distance au SI de l’entreprise. ProtonVPN et clique sur ‘Connect’, le malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec capture discrètement le nom d’utilisateur, le mot de passe, le domaine et d’autres données sensibles avant de les envoyer au serveur malveillant,” précise Sravan Ganachari, chercheur chez SonicWall.
Exploitation de ConnectWise par Authenticode Stuffing : la campagne EvilConwi
En parallèle, les chercheurs de G DATA ont identifié une autre campagne préoccupante : EvilConwi, active depuis mars 2025, qui détourne les installeurs signés de ConnectWise.
Qu’est-ce que l’Authenticode Stuffing ?
Cette technique permet aux attaquants d’injecter du code malveillant directement dans les attributs non authentifiés d’une signature numérique Authenticode, sans pour autant invalider la signature.
Conséquence : Les systèmes Windows considèrent toujours ces exécutables comme fiables et signés, permettant aux malwares de passer inaperçus.
Vecteurs d’infection observés :
Campagnes de phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank contenant des liens OneDrive redirigeant vers de fausses pages Canva.
Publicités trompeuses sur Facebook, promouvant de faux outils d’intelligence artificielle (AI tools).
Le processus typique d’infection inclut :
L’utilisateur clique sur un lien pour visualiser un PDF.
Le lien déclenche le téléchargement furtif d’un installeur ConnectWise piégé.
Une fois exécuté, le malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec affiche une fausse mise à jour Windows afin de bloquer la fermeture de la machine pendant que les attaquants prennent la main à distance.
Pourquoi cette attaque est-elle redoutable ?
Les cybercriminels déguisent leur malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec sous des applications légitimes et signées, souvent exécutées avec des privilèges élevés, réduisant considérablement les chances de détection par les solutions de sécurité traditionnelles.
ConnectWise a depuis révoqué le certificat concerné, mais la méthode reste un vecteur d’attaque critique, surtout dans les environnements où les processus signés sont implicitement considérés comme sûrs.
“En modifiant ces attributs de signature, les attaquants créent leur propre RAT (Remote Access Trojan) qui se fait passer pour des logiciels courants comme un convertisseur AI-to-image pour Google Chrome,” explique Karsten Hahn, chercheur chez G DATA.
Bonnes pratiques et recommandations
Pour se prémunir contre ces attaques :
Téléchargez toujours les logiciels depuis les sites officiels des éditeurs.
Vérifiez la signature numérique, mais soyez conscient que même une signature valide n’est plus un gage absolu de sécurité.
Méfiez-vous des liens envoyés par email ou via les réseaux sociaux, surtout s’ils redirigent vers des plateformes comme OneDrive, Canva ou d’autres services de partage.
Surveillez les comportements anormaux après installation d’un logiciel : fenêtres système inhabituelles, blocage de l’arrêt de l’ordinateur, etc.
Conclusion
Ces deux campagnes soulignent la capacité des cybercriminels à exploiter la confiance accordée aux signatures numériques et à détourner des outils professionnels légitimes pour des accès non autorisés. La vigilance des utilisateurs finaux et des administrateurs IT reste essentielle pour détecter et contrer ces nouvelles techniques d’intrusion.