Des pirates exploitent actuellement une vulnérabilité de Windows, rapportent les chercheurs de Kaspersky et de BI.ZONE. Comme l’ont constaté les experts, les cybercriminels utilisent la faille du système d’exploitation pour déployer le malware PipeMagic sur des ordinateurs. Il s’agit d’une porte dérobée. Une fois glissée dans le système, elle offre un accès persistant aux cybercriminels, ouvrant la porte à d’autres abus.
À lire aussi : Microsoft vient de corriger plus de 100 failles Windows
Attaque par ransomware sur Windows
Apparu en 2022, le logiciel malveillant visait initialement des entreprises industrielles en Asie du Sud‑Est, avant de se propager dans d’autres régions du monde. PipeMagic est massivement utilisé dans le cadre d’attaques par ransomware. En l’occurrence, les pirates se servent de PipeMagic pour parvenir à installer un ransomware sur la machine visée. Par le biais de la porte dérobée, les cybercriminels peuvent chiffrer toutes les données d’ordinateur avec RansomExx, un ransomware apparu vers 2018, après avoir siphonné les informations. Cette astuce permet de mener des attaques de double extorsion.
L’attaque repose sur une faille de Windows corrigée en avril dernier par Microsoft, indiquent les chercheurs. La vulnérabilité permet d’exécuter du code malveillant à distance en s’octroyant plus de privilèges que prévu par le système. La faille se trouve dans le pilote CLFS (Common Log File System) de Windows. Elle permet à un attaquant déjà présent sur le système de prendre le contrôle complet de la machine.
À lire aussi : Microsoft Defender vulnérable – des pirates trompent l’antivirus Windows pour déployer le ransomware Akira
L’importance des mises à jour de sécurité
La faille a été rendue publique il y a plusieurs mois. N’importe quel cybercriminel est donc en mesure d’exploiter la brèche de Windows pour mener une cyberattaque à son terme. L’offensive illustre l’importance d’installer les correctifs de sécurité déployés par Microsoft dans les plus brefs délais. Si vous négligez de le faire, un pirate ne tardera pas de sauter sur l’occasion pour tenter de prendre le contrôle de votre ordinateur.
Comme l’expliquent les chercheurs de Kaspersky, le virus à l’origine de l’attaque, PipeMagic, est en constante évolution. La détection « récurrente de PipeMagic dans des attaques visant des organisations en Arabie saoudite, ainsi que son apparition au Brésil, montre que ce logiciel malveillant reste actif et que ses auteurs continuent d’en enrichir les capacités », souligne le rapport. Les experts russes ajoutent que « les variantes observées en 2025 présentent des améliorations par rapport à celles de 2024, avec pour objectif d’assurer une persistance sur les systèmes infectés ».
Selon les investigations menées par le Microsoft Threat Intelligence, l’attaque a été orchestrée par un gang de pirates connu sous le nom de code Storm-2460. Particulièrement furtif, le groupe est connu pour exploiter des failles publiques de Windows afin d’extorquer de l’argent à des entreprises aux États-Unis, Europe, Moyen-Orient et Amérique du Sud.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Kaspersky
