Lors de cette attaque, les cybercriminels vous ont redirigé vers une copie du site web de l’Organisation Mondiale de la Santé (OMS), au niveau duquel les informations avaient été initialement publiées.
Sur cette copie du site, les cybercriminels ont tout de même ajouté une étape supplémentaire des plus sournoises qui consistait à afficher au niveau de la page principale une fenêtre demandant un mot de passe de messagerie.
Il est évident que le site web officiel de l’OMS ne vous demandera jamais votre mot de passe de messagerie : en effet, après tout il s’agit d’un site web d’information dédié au public et non d’un service de messagerie web, il n’a donc pas besoin de vos identifiants.
Les cybercriminels espéraient que parce que leur site web ressemblait au site officiel, en réalité il contenait le véritable site web qui fonctionnait en arrière-plan dans un navigateur avec la fameuse fenêtre contextuelle malveillante au premier plan, vous seriez amené sans trop d’hésitation et presque machinalement à saisir vos identifiants de messagerie.
Voici donc une nouvelle technique utilisée par les cybercriminels qui vise à profiter des craintes liées à l’épidémie de coronavirus, tout en faisant référence à l’OMS, pour inciter les internautes à cliquer sur des boutons et à ouvrir des fichiers que vous auriez ignorés en temps normal :
Les SophosLabs ont suivi cette campagne de spam ciblée en Italie, où les cybercriminels l’ont rendue crédible et sont parvenus à inciter les internautes à cliquer en :
- Écrivant le message en italien.
- Faisant semblant de citer un fonctionnaire italien de l’OMS.
- Faisant référence à des infections virales connues en Italie.
- Exhortant les Italiens en particulier à lire le document.
En d’autres termes, les cybercriminels n’ont pas simplement diffusé un message général en essayant de tirer profit des craintes mondiales, mais ils ont donné à leur email frauduleux une saveur locale, et donc une bonne raison de passer à l’action :
coronavirus: informazioni importanti su precauzioni.
A causa del fatto che nello Sua zona sono documentati casi di infezione […] [l]e consigliamo vivamente di leggere il documento allegato a questo messaggio!
—————————————————————————
coronavirus: informations importantes sur les précautions à prendre.
Etant donné la présence de cas documentés d’infections dans votre région […] nous vous recommandons fortement de lire le document joint à ce message !
Dans le cas ci-dessus, il n’y a pas de lien vers un site web malveillant, mais à la place une pièce jointe que vous êtes invité à ouvrir.
À présent, vous devez vous méfier, étant donné que les documents Word peuvent contenir des soi-disant macros, à savoir des modules logiciels intégrés qui sont souvent utilisés pour propager des malwares, et qui représentent un risque évident si vous les ouvrez, surtout s’ils proviennent en plus de l’extérieur de votre entreprise.
En effet, les macros Word, souvent utilisées légitimement au sein des entreprises pour gérer les flux de travail métier internes, sont suffisamment risquées lorsqu’elles proviennent de l’extérieur que Microsoft les a bloquées par défaut depuis de nombreuses années.
Cependant, comme vous le savez probablement, les cybercriminels ont appris à transformer les avertissements de sécurité de Microsoft en “fonctionnalités”, comme présenté ci-dessous :
Dans le document ci-dessus, la partie qui n’est pas dangereuse et qui ne contient pas le code macro est le texte sur fond bleu. Il a été délibérément créé par les cybercriminels pour ressembler à un message officiel de Microsoft Office :
Votre application activée
Ce document a été créé avec une version antérieure de Microsoft Office Word. Pour afficher le contenu complet, veuillez cliquer sur “Activer la modification” puis sur “Activer le contenu”
© Microsoft 2020
Aussi raisonnable que cela puisse paraître, MERCI DE NE PAS ACTIVER LE CONTENU !
Le “contenu” que vous allez activer en cliquant sur le bouton [Activer le contenu] n’est pas le document lui-même : en effet, vous visualisez déjà le document en question, il s’agit donc des macros qui y sont cachées.
De plus les macros intégrées dans ce document n’ont rien à voir avec le flux de travail de votre entreprise, en réalité elles serviront à véhiculer le code malveillant que les cybercriminels souhaitent exécuter.
Les SophosLabs ont publié un rapport technique sur les conséquences attendues en cas d’exécution de ce malware macro, impliquant ainsi toute une série d’étapes qui aboutira finalement à une infection par une type de malware Windows bien connu et appelé Trickbot.
Nous vous recommandons de lire ce rapport des SophosLabs pour découvrir comment se déroule une infestation propagée par des malwares modernes, avec à chaque étape une phase de téléchargement ou de déchiffrement qui déclenche l’étape suivante. L’objectif semble être ici de décomposer l’attaque en une série d’opérations, lancées les unes après les autres, moins suspectes que l’exécution immédiate du malware final.
J’ai déjà entendu ce nom auparavant !
Si vous vous demandez où vous avez déjà entendu le nom Trickbot, il se pourrait très bien que ce soit lors d’un podcast Naked Security-Sophos, durant lequel notre expert en réponse aux menaces, Peter Mackenzie, l’a certainement mentionné plus d’une fois (dans l’épisode ci-dessous, la section concernant les attaques de malware commence à 19’10”).
Trickbot est dangereux en soi, il a commencé à faire parler de lui en tant que soi-disant cheval de Troie bancaire, un type de malware qui tente de pirater l’accès à votre compte bancaire.
De nos jours, Trickbot est également très souvent annonciateur d’une attaque de ransomware à part entière.
En implantant Trickbot sur votre ordinateur, les cybercriminels prennent pied dans votre réseau où ils peuvent récupérer des mots de passe et des données et bien plus encore, ainsi que cartographier les ressources dont vous disposez.
Après avoir utilisé tout le potentiel malveillant offert par Trickbot, les cybercriminels utilisent souvent le bot comme rampe de lancement pour leur assaut final : à savoir une attaque de ransomware.
Une famille de ransomware qui prend généralement le relai après des infections Trickbot non repérées est la famille de malware connue sous le nom de Ryuk, dont les opérateurs cybercriminels sont connus pour demander des rançons à six voire même à sept chiffres.
Quoi faire ?
- Ne vous laissez par impressionner par des figures d’autorité mentionnées dans un email. Cette arnaque prétend provenir d’un fonctionnaire italien de l’OMS, mais n’importe qui peut signer un email avec un nom inspirant confiance et le respect.
- Ne vous sentez jamais obligé d’ouvrir des pièces jointes dans un email. Plus important encore, n’agissez pas suite à des conseils reçus mais que vous n’avez jamais demandés et que vous ne vous attendiez pas à recevoir. Si vous cherchez vraiment des conseils sur le coronavirus, faites vos propres recherches et choisissez vous-mêmes l’endroit où les chercher.
- Ne cliquez jamais sur [Activer le contenu] dans un document même si ce dernier vous le demande. Microsoft a bloqué l’exécution automatique de ce que l’on appelle le “contenu actif”, tel que les macros, précisément parce qu’elles sont très souvent utilisées pour implanter des malwares sur votre ordinateur.
- Formez/sensibilisez vos utilisateurs. Des produits comme Sophos Phish Threat vous montrent justement les astuces utilisées par les scammeurs et les phisheurs, mais attention en toute sécurité, de sorte que si une personne se fait piéger, aucun dommage n’est à craindre réellement. Sophos propose également un toolkit anti-phishing gratuit qui comprend des affiches, des exemples d’emails de phishing, des astuces pour repérer les arnaques propagées par email, etc.
Billet inspiré de Coronavirus warning spreads computer virus, sur Sophos nakedsecurity.