Les pirates qui contrôlent le botnet Kelihos essayent de profiter de la sensibilisation des utilisateurs à la sécurité des comptes en ligne d'Apple en menant une nouvelle campagne de phishing. Selon les chercheurs en sécurité de Symantec, le botnet Kelihos a commencé à envoyer de fausses alertes de sécurité en usurpant la marque d'Apple pour informer les destinataires que leur identifiant Apple avait été utilisé pour effectuer un achat sur l'iTunes Store. L'Apple ID est un identifiant unique attribué par Apple qui permet aux abonnés d'accéder à ses services en ligne. Les faux courriels ont pour en-tête « Autorisation de notification en attente » et affirment que l'achat a été effectué à partir d'un ordinateur ou d'un périphérique qui ne correspond pas à celui habituellement utilisé par l'abonné, comme l'ont expliqué les chercheurs de Symantec vendredi dans un blog.

Les courriels indiquent une adresse IP localisée à Volgograd, en Russie, à partir de laquelle l'achat aurait été réalisé. Pour éviter une utilisation soi-disant abusive du compte iTunes, les faux messages demandent aux utilisateurs de cliquer sur un lien dans le cas où ils ne sont pas à l'origine de l'achat. Celui-ci les redirige vers un site de phishing imitant la page d'identification d'Apple sur laquelle les utilisateurs sont invités à taper leurs identifiants. Le site n'a plus qu'à récupérer les identifiants de l'Apple ID pour cette fois usurper réellement les comptes.

Une campagne de phishing qui surfe sur les propos de Tim Cook   

Les campagnes de phishing utilisant comme appâts les fausses alertes de sécurité ne sont pas nouvelles. Mais, parce qu'elle intervient peu de temps après un événement très médiatisé, à savoir le piratage de comptes iCloud d'un certain nombre de célébrités, cette campagne pourrait tromper la vigilance des utilisateurs. Il y a une semaine les photos d'actrices et de modèles féminins nues, que toutes stockaient sur des comptes iCloud, ont été divulguées sur Internet. Dans un premier temps, certains ont déclaré que ces fuites étaient peut-être le résultat d'une attaque par force brute ayant permis de deviner les mots passe des comptes Apple via la fonction « Find My Phone ». Mais peu après, Apple a expliqué que ces fuites étaient le fruit d'une « attaque très ciblée sur les noms d'utilisateur, les mots de passe et les questions de sécurité » et n'étaient pas liées à une défaillance de ses systèmes.

L'incident a fait l'objet de beaucoup d'attention en ligne et il a été très largement relayé par les médias, obligeant même le CEO d'Apple, Tim Cook, à réagir en déclarant au Wall Street Journal qu'Apple commencerait à envoyer des notifications de sécurité aux utilisateurs par courriel et par messages push en cas de modifications le leur compte iCloud. « Il est probable que le moment choisi pour cette campagne n'est pas le fait du hasard. Les pirates contrôlant le botnet essayent de jouer sur les éventuelles peurs du public sur la sécurité de l'Apple ID et de tromper leur vigilance afin de récupérer leurs identifiants », ont déclaré les chercheurs de Symantec. Les pirates contrôlant le botnet Kelihos ont déjà montré qu'ils savaient tirer profit des événements. Au mois d'août dernier, ils avaient lancé une campagne de spam encourageant les utilisateurs russophones à installer un programme sur leur ordinateur afin de permettre au botnet d'utiliser leur machine pour mener des attaques par déni de service distribué (DDoS) contre les sites des gouvernements occidentaux en réponse aux récentes sanctions internationales contre la Russie. En réalité, les courriels contenaient une variante du malware Kelihos, et non un programme DDoS.

Pour empêcher toute usurpation de l'Apple ID, même dans le cas où les noms d'utilisateur et les mots de passe ont été compromis, Apple invite les utilisateurs à activer l'authentification à deux niveaux dans les préférences de compte.