28.06.2024 - Le soir du 27 juin 2024, des cybercriminels ont lancé une campagne de « malspam » à grande échelle contre des citoyennes et citoyens de Suisse alémanique. Par le biais d’un e-mail dont l’expéditeur présumé est AGOV, ils tentent d’infecter les appareils des utilisatrices et utilisateurs de macOS avec un maliciel (malware en anglais) du nom de « Poseidon Stealer ».
Des cybercriminels envoient actuellement des e-mails prétendument issus d’AGOV, le service d’authentification des autorités suisses qui peut être utilisé par les autorités fédérales, cantonales et communales, par exemple pour remplir la déclaration d’impôt par voie électronique. L’OFCS enregistre en ce moment de nombreux signalements de ce type d’e-mails malveillants. Ici, l’e-mail invite les destinataires à télécharger un pack logiciel. Il est notamment déclaré que l’AGOV access App est disponible en tant qu’application de bureau. Cette affirmation est fausse, l’application AGOV access n’étant disponible que pour les smartphones.
Ces e-mails frauduleux contiennent un lien vers le moteur de recherche « Bing » de Microsoft, qui redirige la victime vers un autre site web. Sur ce site, la victime est à nouveau redirigée vers un autre site proposant un pack logiciel pour le système d’exploitation d’Apple macOS. Si le destinataire télécharge et exécute le fichier, l’ordinateur est infecté par un maliciel du nom de « Poseidon Stealer ». Une fois installé sur l’appareil, ce logiciel malveillant dérobe diverses informations présentent sur l’ordinateur de la victime et les transmet aux cybercriminels.
Avec ses partenaires, l’OFCS a mis en place des mesures de défense appropriées afin de réduire la menace.
L’OFCS recommande de supprimer immédiatement cet e-mail abusif. Il recommande aux utilisatrices et utilisateurs qui ont téléchargé et installé le maliciel de réinitialiser immédiatement l’appareil concerné.
Pour les experts en cybersécurité, l'OFCS a rassemblé des informations techniques et des indicateurs supplémentaires (« Indicators of compromise » - IOCs) sur la page Github du GovCERT :
https://github.com/govcert-ch/CTI/tree/main/20240627_macOS_PoseidonStealer