Les cybercriminels redoublent d’ingéniosité pour piéger les internautes. Selon une enquête menée par la Global Research & Analysis Team (GReAT) de Kaspersky, une campagne de malware-as-a-service (MaaS) vise actuellement les lecteurs de livres numériques en Turquie, en Égypte, au Bangladesh et en Allemagne.
Les attaquants dissimulent des logiciels malveillants sophistiqués derrière l’apparence de livres turcs et arabes à succès, incitant des centaines de victimes à télécharger des fichiers capables de dérober mots de passe, portefeuilles de cryptomonnaies et autres données sensibles stockées sur leurs ordinateurs.
De faux ebooks utilisés comme vecteurs d’infection
Les chercheurs de Kaspersky GReAT ont identifié une campagne reposant sur LazyGo, un nouveau loader développé en langage Go. Ce loader permet de diffuser plusieurs programmes spécialisés dans le vol d’informations. La campagne cible des utilisateurs à la recherche de titres populaires, allant de The Thirty-Nine Steps de John Buchan en version turque à des ouvrages arabes consacrés à la poésie, au folklore météorologique ou aux pratiques religieuses.
🟢 À LIRE AUSSI : Vie privée en ligne : quel navigateur protège encore vraiment vos données en 2025 ?
Les fichiers malveillants se présentent sous la forme d’ebooks au format PDF, mais il s’agit en réalité de programmes exécutables dotés d’icônes PDF. Une fois téléchargés et ouverts, ces faux livres déclenchent le loader LazyGo, qui déploie plusieurs outils de vol de données, notamment StealC, Vidar et ArechClient2. Les chercheurs ont identifié trois variantes distinctes de LazyGo, chacune s’appuyant sur des techniques d’évasion différentes.
Quelles données sont ciblées par les attaquants ?
Les informations dérobées couvrent un large spectre de données sensibles, parmi lesquelles :
- Données de navigation : mots de passe enregistrés, cookies, informations de saisie automatique et historique issus de Chrome, Edge, Firefox et d’autres navigateurs ;
- Actifs financiers : extensions de portefeuilles de cryptomonnaies, fichiers de configuration et données de stockage ;
- Identifiants de développeurs : identifiants AWS, jetons Azure CLI et jetons de la plateforme Microsoft Identity ;
- Plateformes de communication : jetons Discord, données Telegram Desktop et fichiers de session Steam ;
- Informations système : caractéristiques matérielles, logiciels installés et processus en cours d’exécution.
Les victimes infectées par ArechClient2 / SectopRAT font face à un risque supplémentaire, les attaquants pouvant obtenir un contrôle à distance complet des machines compromises.
Une campagne active aux impacts étendus
Les données de télémétrie de Kaspersky révèlent des taux d’infection élevés en Turquie, au Bangladesh, en Égypte et en Allemagne. Les victimes appartiennent notamment à des agences gouvernementales, des établissements d’enseignement, des services informatiques et d’autres secteurs sensibles. La campagne reste active, les acteurs malveillants continuant de publier de nouveaux ebooks infectés sur GitHub et sur des sites web compromis.
« Ce qui rend cette campagne particulièrement préoccupante, c’est la combinaison d’un modèle de malware-as-a-service et d’une ingénierie sociale hautement ciblée », explique Yossef Abdelmonem, Senior Security Researcher chez Kaspersky GReAT.
🟢 À LIRE AUSSI : Comment se protéger de la « menace fantôme » des extensions malveillantes ? Le plan de défense Kaspersky
« Les multiples variantes du loader LazyGo et ses techniques d’évasion sophistiquées montrent qu’il ne s’agit pas de cybercriminalité opportuniste, mais d’une opération structurée, conçue pour collecter des identifiants à grande échelle. Les organisations doivent faire preuve d’une vigilance accrue, car les jetons de développeurs et les identifiants cloud dérobés peuvent offrir aux attaquants un accès profond aux infrastructures d’entreprise », explique-t-il encore.
Les faux ebooks couvrent un large éventail de centres d’intérêt, allant de manuels turcs de management, comme İşletme Yöneticiliği de Tamer Koçel, à de la fiction contemporaine, en passant par des ouvrages arabes de critique littéraire, tels que The Literary and Linguistic Movement in the Sultanate of Oman. Cette diversité thématique vise à élargir la surface d’attaque et à toucher des profils d’utilisateurs très variés.
Comment s’en protéger ? Voici les recommandations de Kaspersky !
Face à cette menace, Kaspersky recommande aux utilisateurs de vérifier systématiquement la source des ebooks avant tout téléchargement, d’examiner attentivement les propriétés des fichiers et de maintenir des solutions de sécurité à jour, capables de détecter des techniques d’évasion avancées.
Lors du choix d’une solution de sécurité, il est conseillé d’opter pour un produit doté de capacités anti-malware robustes, validées par des tests indépendants. Selon une évaluation récente menée par AV-Comparatives, Kaspersky Premium a affiché un taux de protection de 99,99 % sur un échantillon de 9 995 fichiers, confirmant un haut niveau de défense contre les logiciels malveillants.
À propos de la Global Research & Analysis Team (GReAT)
Fondée en 2008, la Global Research & Analysis Team (GReAT) occupe une place centrale dans les activités de Kaspersky. Elle est spécialisée dans l’identification des APT, des campagnes de cyberespionnage, des malwares majeurs, des ransomwares et des tendances de la cybercriminalité à l’échelle mondiale.
GReAT regroupe aujourd’hui plus de 35 experts répartis en Europe, en Russie, en Amérique latine, en Asie et au Moyen-Orient, reconnus pour leur leadership en matière de recherche et d’innovation anti-malware.
À propos de Kaspersky
Fondée en 1997, Kaspersky est une entreprise internationale spécialisée dans la cybersécurité et la protection de la vie privée. Ses technologies protègent plus d’un milliard d’appareils contre les cybermenaces émergentes et les attaques ciblées.
Son portefeuille comprend des solutions de protection pour les particuliers, des produits et services dédiés aux entreprises, ainsi que des solutions de Cyber-Immunité conçues pour faire face à des menaces numériques toujours plus sophistiquées. Kaspersky accompagne aujourd’hui des millions de particuliers et plus de 200 000 entreprises à travers le monde. Pour en savoir plus : https://www.afrique.kaspersky.com
