Les 3 premiers résultats Bing pour « KakaoTalk » sont tous du phishing venu de Chine

Les 3 premiers résultats Bing pour « KakaoTalk » sont tous du phishing venu de Chine

En recherchant « KakaoTalk » sur Bing, les trois premiers résultats (apps-kakaocorp[.]com, apps-kakaotalk[.]com, pc-kakaotalk[.]com) sont tous du phishing. Analyse de l’infrastructure et du code :

• Filtrage : renvoie 500/403 sans Referer+UA (évitement des accès directs et des scanners automatiques)
• Infrastructure chinoise : enregistrement via Tencent/DNSpod, analytics 51.la, og:locale=zh-cn, lien vers un compte Telegram chinois
• Enregistrement : 3 domaines enregistrés en lot à 1 seconde d’intervalle, même sous-réseau /24, TLS émis le même jour
• Malware : installeur NSIS déguisé en .scr → demande les droits administrateur → déchiffre la charge utile via DcryptDll.dll → dépôt dans AppData
• Distribution : les 3 domaines redirigent tous vers la même URL CDN Cloudflare (download.i96l6[.]top, Alibaba Cloud)

Le véritable site officiel de KakaoTalk était relégué à la 4e place. Comme Bing est le moteur de recherche par défaut d’Edge, c’est une menace sérieuse pour les utilisateurs qui n’ont pas modifié ce réglage.

Détails

Le mécanisme d’évasion est assez sophistiqué. La page de phishing n’est affichée qu’aux utilisateurs arrivant via les résultats d’un moteur de recherche, tandis qu’un accès direct par URL ou un scanner automatique reçoit une page vide. Résultat : même des services publics d’analyse comme urlscan.io ne détectent rien, et lorsqu’un utilisateur devient méfiant et vérifie l’URL directement, il ne voit rien non plus, ce qui rend le signalement plus difficile.

L’identification des attaquants est relativement facile. Le code source contient de nombreux indicateurs pointant vers une origine chinoise : code de suivi 51.la (web analytics chinois), og:locale=zh-cn, chemin /wenzhang/ (文章), contact Telegram codé en dur, etc. L’enregistrement des domaines passe par Tencent/DNSpod, et le CDN transite par Alibaba Cloud.

Les trois domaines relèvent en pratique d’une seule opération. Leurs Registry Domain ID se suivent, ils ont été enregistrés en lot à 1 seconde d’intervalle, utilisent le même sous-réseau /24, la même logique de filtrage et la même URL de téléchargement. Pour diversifier le SEO, ils utilisent une structure de template où seules les métadonnées changent (seo_templates/index/zd/kk_1/2/3/).

Le chemin de téléchargement applique un session gating. Accès à la page /download → émission d’un cookie PHPSESSID → appel à /download.php qui redirige en 302 vers un CDN externe (download.i96l6[.]top). Sans cookie, un accès direct à download.php renvoie 500.

Le fichier distribué est un exécutable PE utilisant l’extension .scr (écran de veille). Il s’agit d’un installeur NSIS v3.07, dont les métadonnées sont déguisées en « Kakao Corp. / KakaoTalk Setup ». Il demande les droits administrateur et embarque à la fois une DLL de déchiffrement à l’exécution (DcryptDll.dll) et des composants WPS Office (Kingsoft). La méthode consiste à installer à la fois un logiciel légitime et une charge malveillante afin de réduire les soupçons de l’utilisateur.