Déplier le sommaire Replier le sommaire
Une Campagne de Phishing ConnectWise Cible les Secteurs de la Santé et des Cryptomonnaies aux États-Unis
Des acteurs malveillants opérant depuis le dark web ont récemment lancé une campagne de phishing ciblant spécifiquement les domaines de la santé et des cryptomonnaies aux États-Unis. Cette nouvelle offensive a pour objectif de diffuser des logiciels malveillants en exploitant surtout la vulnérabilité de ScreenConnect.
Le logiciel légitime de support à distance, ConnectWise ScreenConnect, fréquemment utilisé par les professionnels de l’informatique et les prestataires de services gérés (MSP), s’est retrouvé au cœur de ces attaques cybernétiques. Les cybercriminels ont mis à profit les failles de sécurité de ScreenConnect pour s’introduire dans les systèmes des victimes sans autorisation, leur permettant ainsi de mener diverses opérations malveillantes.
Les Faiblesses de ScreenConnect Exploitées par les Cybercriminels
Les laboratoires de recherche et d’intelligence de Cyble (CRIL) ont révélé que le principal stratagème de ces campagnes de phishing réside dans la création de sites Web frauduleux. Ces derniers imitent souvent de manière convaincante les plateformes de cryptomonnaies légitimes ou les organisations de santé. Un exemple frappant est le site de phishing “hxxps://rollecoin[.]online”, qui ressemble à s’y méprendre au site officiel de RollerCoin, une plateforme de simulation de minage de Bitcoin. À l’insu des visiteurs, le simple fait d’interagir avec ces sites frauduleux entraîne le téléchargement de fichiers clients ScreenConnect, exposant les utilisateurs à des risques d’exploitation par des pirates informatiques.
De même, des entités de santé ont été visées à travers des sites de phishing hébergés via des prises de sous-domaine, tels que “sgacor.kenparkmdpllc[.]com”, se faisant passer pour des plateformes de santé légitimes. Ces sites de phishing tirent parti de la confiance associée aux services de santé renommés pour piéger les victimes et les amener à télécharger des logiciels malveillants.
Cette vague d’attaques cybernétiques contre les établissements de santé marque une escalade préoccupante, les campagnes de phishing ConnectWise ciblant de manière agressive les organisations liées à la santé et à la médecine.
Incidents Similaires Exploitant la Vulnérabilité de ScreenConnect
L’analyse de CRIL a démontré que les fichiers clients ScreenConnect téléchargés initiaient l’installation de fichiers Microsoft Installer, permettant ainsi l’installation du service ScreenConnect sur les machines compromises. Bien qu’aucune communication active entre le serveur et le client n’ait été observée dans ces cas, la possibilité d’extraction de données ou de déploiement de malware demeure une préoccupation majeure.
Cette exploitation des vulnérabilités de ScreenConnect n’est pas un phénomène nouveau. Divers incidents antérieurs, documentés par plusieurs firmes de cybersécurité, ont mis en lumière des abus similaires. Par exemple, des soupçons ont émergé en février 2021 concernant l’exploitation potentielle de ScreenConnect par des groupes de menaces tel que Static Kitten. Des incidents subséquents en mai 2022 et novembre 2023 ont encore souligné la vulnérabilité des organisations, en particulier dans le secteur de la santé, face aux cyberattaques facilitées par ScreenConnect.
Ce rapport s’appuie sur des recherches internes et externes obtenues par divers moyens. Les informations fournies sont uniquement destinées à des fins de référence, et les utilisateurs assument l’entière responsabilité de leur utilisation. Hackitude n’assume aucune responsabilité quant à l’exactitude ou aux conséquences de l’utilisation de ces informations.