Nouvelle campagne d'empoisonnement SEO ciblant les administrateurs informatiques avec des logiciels malveillants

Varonis révèle que des attaquants utilisent l'empoisonnement SEO pour inciter les administrateurs informatiques à télécharger des logiciels malveillants, ainsi qu'une vulnérabilité critique d'accès root dans l'utilitaire de montage AZNFS d'Azure, affectant les charges de travail HPC/IA. Mettez à jour Azure immédiatement.

Les chercheurs en cybersécurité de Varonis ont émis des avertissements concernant deux menaces distinctes mais importantes visant les administrateurs informatiques et l'infrastructure cloud. Comme l'a souligné Varonis dans un article de blog publié le 2 mai 2025, on observe depuis deux mois une tendance croissante des attaquants à utiliser l'empoisonnement SEO pour inciter les administrateurs à télécharger des logiciels malveillants déguisés en outils légitimes.

Par ailleurs, le 6 mai, les Threat Labs de la société ont signalé une vulnérabilité critique dans un utilitaire Azure préinstallé qui pourrait permettre aux utilisateurs non privilégiés d'obtenir un accès root complet aux systèmes cloud.

La campagne d'empoisonnement SEO implique que des cybercriminels manipulent les classements des moteurs de recherche pour placer des sites web malveillants en tête des résultats des outils d'administration informatique courants. Les administrateurs, sans méfiance, croyant télécharger un logiciel authentique, installent en réalité des logiciels malveillants pouvant conduire à l'installation de portes dérobées comme SMOKEDHAM , permettant ainsi aux attaquants un accès permanent.

Les membres de l'équipe Varonis MDR Forensics, Tom Barnea et Simon Biggs, ont mis en évidence des cas où cette technique a conduit au déploiement d'un logiciel de surveillance comme une version renommée de Kickidler ( grabber.exe ), permettant aux attaquants d'observer secrètement les machines infectées et de voler des informations d'identification.

Cet accès initial ouvre souvent la voie à l'exfiltration de données, comme on l'a vu dans un cas où les attaquants ont réussi à transférer près d'un téraoctet de données hors du réseau, suivi du cryptage de systèmes critiques comme les appareils ESXi du client contre rançon.

Dans une découverte distincte mais tout aussi préoccupante, Varonis Threat Labs, dirigé par le chercheur Tal Peleg, a identifié une faille critique dans l'utilitaire AZNFS-mount , un outil préinstallé sur les images Azure de calcul haute performance (HPC) et d'intelligence artificielle (IA). Cette vulnérabilité, affectant toutes les versions jusqu'à la version 2.0.10, pourrait permettre à un utilisateur lambda d'élever ses privilèges jusqu'à root sur une machine Linux.

Selon les recherches de Veronis, partagées avec Hackread.com, la faille se situe dans le binaire « mount.aznfs » et, en raison d'autorisations incorrectes, pourrait être exploitée pour exécuter des commandes arbitraires avec les privilèges système les plus élevés. En manipulant une variable d'environnement spécifique, les attaquants pourraient prendre le contrôle total des systèmes Azure affectés.

Varonis Threat Labs a divulgué cette vulnérabilité à Microsoft Azure, qui l'a classée comme faiblement grave. Cependant, l'accès root à l'infrastructure cloud pourrait avoir un impact significatif, car il pourrait permettre aux attaquants de monter du stockage supplémentaire, d'installer des logiciels malveillants et de se déplacer latéralement dans les environnements cloud. Microsoft a depuis publié un correctif dans la version 2.0.11 de l'utilitaire AZNFS-mount.

Ces résultats montrent néanmoins que les cybercriminels améliorent constamment leurs tactiques pour cibler plus efficacement les infrastructures informatiques critiques. La campagne d'empoisonnement SEO souligne la nécessité d'une meilleure vigilance des professionnels de l'informatique lors du téléchargement d'outils issus de recherches en ligne, même ceux qui apparaissent en tête des classements. La vulnérabilité de l'utilitaire Azure souligne l'importance d'appliquer rapidement les correctifs et de configurer soigneusement les ressources cloud.

Varonis conseille aux entreprises de mettre en œuvre une stratégie de « défense en profondeur », incluant la formation des employés, la sécurité des terminaux, la segmentation du réseau et des contrôles d'accès stricts, afin d'atténuer ces menaces croissantes. Il est conseillé aux clients Azure utilisant des images HPC ou NFS pour le stockage Azure de mettre à jour immédiatement leur utilitaire de montage AZNFS.