Quick Assist, la nouvelle arme des hackers pour prendre le contrôle de vos ordinateurs

Dans une campagne de ransomware en cours depuis mi-avril, Microsoft a indiqué que des cyberpirates utilisaient l'outil de prise de contrôle à distance des appareils de Windows 10 et 11, Quick Assist (Assistance Rapide) pour déployer largement le malware Black Basta.

Parfois, le remède est pire que le mal. C'est sans doute ce que se sont dit les victimes de Black Basta, ce malware installé à leur insu via Quick Assist ou Assistance Rapide, le logiciel d'accès à distance de Windows 10 et 11.

Déguisés en assistance technique, les cybercriminels du gang surnommé Storm-1811, abusent de la confiance des utilisateurs pour prendre le contrôle de leurs systèmes et propager leur ransomware dévastateur. Microsoft a sonné l'alerte et détaillé ce nouveau modus operandi inquiétant, qui révèle une fois de plus que les hackers ne doutent plus de rien.

L'ingénieux stratagème du phishing vocal

On le sait désormais, les cyberpirates sont surentraînés aux techniques d'attaques les plus sophistiquées, qu'elles utilisent l'IA ou pas. Pour déployer Black Basta, ils ont commencé par une campagne d'hameçonnage ciblant les utilisateurs, qui sont bombardés de courriels indésirables. Les malheureuses victimes qui ont mordu à l'hameçon sont ensuite contactées par téléphone, les pirates se faisant passer pour un service d'assistance technique tout ce qu'il y a de plus légal (on connaît également leur force de persuasion s'ils sont de bon comédien). Avec force arguments, ils convainquent l'utilisateur d'autoriser une prise de contrôle à distance via Quick Assist pour « résoudre » un soi-disant problème.

La manipulation repose sur un raccourci clavier et un code fourni par l'escroc. Une fois ces éléments entrés, l'utilisateur se retrouve à partager son écran et à donner un accès complet à son système. Un simple clic suffit alors au pirate pour demander et obtenir les droits de contrôle total. À partir de là, la victime assiste, sous ses yeux et sans qu'elle puisse agir, au déploiement du malware Black Basta au sein de l'ensemble du réseau de son entreprise. Le tout comme si c'était elle qui agissait. De leur côté, les hackers disposent d'un accès illimité leur permettant d'installer des logiciels malveillants très perfectionnés comme le cheval de Troie Qakbot ou l'outil d'attaque Cobalt Strike.

Black Basta, le ransomware qui fait des ravages

Une fois l'accès établi, les pirates de Storm-1811 enchaînent sur le déploiement massif de leur arme fatale : le ransomware Black Basta. Puissant cryptovirus, ce dernier chiffre les données des systèmes infectés et réclame une rançon faramineuse pour les déverrouiller. L'outil PsExec permet à Black Basta de se propager plus vite que son ombre à l'ensemble du réseau de l'entreprise de la victime. Dans certains cas, ce sont indirectement des données personnelles de salariés et de particuliers qui sont alors compromises, de quoi faire un nombre incalculable de victimes collatérales.

Face à ce fléau, Microsoft passe à la contre-attaque. Le géant de Redmond prévoit de renforcer les avertissements et la transparence de Quick Assist pour mettre en garde contre ces arnaques au support technique. Les entreprises sont également invitées à bloquer ou désinstaller cet utilitaire s'il n'est pas indispensable, réduisant d'autant la surface d'attaque. En parallèle, Microsoft partage des indices de compromission et des requêtes de détection pour aider ses clients à identifier toute activité suspecte liée à cette campagne malveillante. Clubic s'associe à ces conseils, en recommandant aux salariés ou particuliers de toujours s'assurer, avant de donner des accès de contrôle à distance de leur appareil, qu'un dysfonctionnement a bien lieu au sein de la structure. Et, bien entendu, de vérifier que le logiciel proposé par l'interlocuteur est bien le même que celui habituellement utilisé par le service informatique. Enfin, il est toujours conseillé de maintenir les systèmes de protection à jour.

Source : The Register, Microsoft