Le groupe Ghostwriter a de nouveau frappé le gouvernement ukrainien, en utilisant une campagne de phishing géolocalisé. Les attaquants envoient des fichiers PDF qui, une fois ouverts, déploient le malware Cobalt Strike. Cette tactique de géociblage n'active l'attaque que si la victime se trouve dans un lieu spécifique, rendant l'analyse difficile depuis l'extérieur de l'Ukraine.
Comment fonctionne le géorepérage dans la distribution de malwares 🗺️
Le géorepérage est une technique qui vérifie la localisation de la victime via les coordonnées IP ou GPS avant d'exécuter la charge utile. Dans cette campagne, les PDF malveillants contiennent des liens qui ne téléchargent Cobalt Strike que si l'utilisateur se trouve en Ukraine. Cela empêche les analystes d'autres pays de détecter le code malveillant en ouvrant le fichier dans des environnements contrôlés. Cobalt Strike permet aux attaquants d'exécuter des commandes, de voler des données et de se déplacer latéralement dans le réseau compromis, le tout depuis un serveur distant.
L'attaque qui ne fonctionne que si vous êtes au bon endroit 🎯
Ghostwriter a perfectionné l'art de l'exclusivité : son phishing n'ouvre la porte que si vous êtes en Ukraine. Si vous êtes un analyste en Espagne ou aux États-Unis, le PDF se comporte comme un document inoffensif. C'est comme si le malware disait : désolé, vous n'êtes pas sur la liste des invités. Pendant ce temps, les fonctionnaires ukrainiens ouvrent le fichier et reçoivent une surprise numérique qu'ils n'avaient pas demandée. La géolocalisation comme filtre de sécurité inversé : une astuce qui ferait sourire n'importe quel vendeur de billets de concert.