Les chevaux de Troie permettent aux pirates informatiques de prendre le contrôle à distance de votre ordinateur, et ainsi d'envoyer, de recevoir, de lancer et de supprimer des fichiers. C'est bien ce type de menace que l'équipe d'eSentire, spécialiste en cybersécurité, a découvert en circulation sur le réseau social LinkedIn.

Demandeurs d'emplois et recruteurs prenez-donc garde, car le logiciel malveillant dont il s'agit se présente sous la forme d'un fichier compressé .zip, au sein de plusieurs offres d'emplois. La fourberie principale réside dans le fait que ce fichier reprend l'intitulé du poste du membre LinkedIn qui le visualise. Par exemple, si votre job s'appelle "Web project manager" sur le réseau social, le fichier .zip malveillant va s'appeler "Web project manager position".

Réactions en chaîne

Ainsi, en ouvrant la fausse offre d'emploi, la victime déclenche involontairement l'installation d'un cheval de Troie connu sous le nom de “more_eggs”. Une fois chargé, ce malware sophistiqué peut télécharger d'autres plugins malveillants, et permettre un accès direct à l'ordinateur touché.

Le groupe de pirates à l'origine de more_eggs, Golden Chickens, vend son logiciel malveillant à d'autres cybercriminels dans le cadre d'un accord de type "malware as a service" (MaaS). Une fois more_eggs installé sur le système informatique de la victime, les clients malveillants de Golden Eggs peuvent ainsi y pénétrer et infecter le système avec n'importe quel type de malware : ransomware, voleur d'identifiants, logiciel malveillant bancaire, ou simplement utiliser le cheval de Troie comme point d'entrée afin de récupérer des données personnelles. 

Attention au mot "position"

Et le plus sournois dans l'histoire, c'est que le fichier .zip est un véritable fichier compressé qui contient des informations sur l'offre d'emploi, et qu'une fois ouvert, l'installation du cheval de Troie se fait très discrètement, sans qu'aucune alerte visuelle ou sonore ne se déclenche.

Il est donc évidemment conseillé de vérifier la provenance des offres LinkedIn, et d'éviter d'ouvrir fichiers dont le nom se termine par "position".