Les cybercrimels ne pouvaient décemment pas laisser passer cette opportunité. Entre le piratage de HBO par le groupe Mr. Smith et les fuites d'épisodes inédits de la série Game of Thrones, le contexte était évidemment propice à quelques arnaques.
La société de cybersécurité Proofpoint a détecté une campagne de phishing avec la diffusion d'un email malveillant ayant pour sujet : " Wanna see the Game of Thrones in advance? ". L'email prétend contenir des spoilers pour la saison 7 qui s'achève.
En pièce jointe, un document Microsoft Word au nom de " game of thrones preview.docx " dissimule un malware. Il intègre un fichier LNK qui exécute un script PowerShell menant à l'installation d'un outil d'administration à distance : 9002 RAT (Remote Access Trojan).
Research via @threatinsight team- RAT Cook: Chinese APT actors use fake #GameOfThrones leaks as lures. https://t.co/CwR1N6ZAqy #InfoSec pic.twitter.com/xdqNeBWxlT
— Proofpoint (@proofpoint) 28 août 2017
En analysant la charge utile et la tentative d'accès complet à une machine infectée, Proofpoint établit un parallèle avec des cyberattaques conduites par le passé par un groupe de cyberespionnage baptisé APT17 - ou DeputyDog - et basé en Chine.
Ce groupe a été impliqué dans des intrusions informatiques ayant ciblé des agences gouvernementales américaines, l'industrie de la défense, des sociétés technologiques, des organisations non gouvernementales.
Proofpoint parle de " l'utilisation d'un leurre Game of Thrones pendant la pénultième saison de la série " et d'une technique habituelle consistant à " développer des leurres opportuns et pertinents, et jouer sur le facteur humain. " Ici, la simple curiosité pour une série très populaire.
Toutefois, il n'est pas dit que le piratage de HBO soit en lien direct avec les attaques attribuées au groupe APT17.