Un groupe avancé de menace persistante (APT) avec des liens avec le Pakistan a été attribué à la création d’un faux site Web se faisant passer pour le système postal du secteur public de l’Inde dans le cadre d’une campagne conçue pour infecter à la fois les utilisateurs de Windows et Android dans le pays.
La société de cybersécurité Cyfirma a attribué la campagne avec une confiance moyenne à un acteur de menace appelé APT36, également connu sous le nom de tribu transparente.
Le site Web frauduleux imitant le Post de l’Inde est nommé “Postindia[.]Site. “Les utilisateurs qui atterrissent sur le site à partir des systèmes Windows sont invités à télécharger un document PDF, tandis que ceux qui visitent un appareil Android sont servis un fichier d’application malveillante (” Indiapost.apk “).
“Lorsqu’il est accessible à partir d’un bureau, le site offre un fichier PDF malveillant contenant des tactiques de” ClickFix “” Cyfirma dit. “Le document ordonne aux utilisateurs d’appuyer sur les clés Win + R, de coller une commande PowerShell fournie dans la boîte de dialogue d’exécution et de l’exécuter – compromettant potentiellement le système.”
Une analyse des données EXIF associées au PDF supprimé montre qu’elle a été créée le 23 octobre 2024 par un auteur nommé “PMyles«Une référence probable au programme du Pakistan pour les jeunes ordinateurs portables. inscrit Environ un mois plus tard le 20 novembre 2024.
Le code PowerShell est conçu pour télécharger une charge utile à la prochaine étape à partir d’un serveur distant (“88.222.245[.]211 “) C’est actuellement inactif.
D’un autre côté, lorsque le même site est visité à partir d’un appareil Android, il exhorte les utilisateurs à installer leur application mobile pour une «meilleure expérience». L’application, une fois installée, demande des autorisations approfondies qui lui permettent de récolter et d’exfiltrer des données sensibles, y compris les listes de contacts, l’emplacement actuel et les fichiers du stockage externe.
“L’application Android modifie son icône pour imiter une icône de comptes Google non insolite pour cacher son activité, ce qui rend difficile pour l’utilisateur de localiser et de désinstaller l’application lorsqu’il souhaite le supprimer”, a déclaré la société. “L’application a également une fonctionnalité pour forcer les utilisateurs à accepter les autorisations s’ils sont refusés en premier lieu.”
L’application malveillante est également conçue pour s’exécuter en arrière-plan en continu même après un redémarrage d’un appareil, tout en cherchant explicitement les autorisations pour ignorer l’optimisation de la batterie.
“Clickfix est de plus en plus exploité par les cybercriminels, les escrocs et les groupes APT, comme l’ont rapporté d’autres chercheurs observant son utilisation dans la nature”, a déclaré Cyfirma. “Cette tactique émergente constitue une menace significative car elle peut cibler à la fois les utilisateurs sans méfiance et avertis qui ne connaissent peut-être pas de telles méthodes.”




