Face à la pandémie du COVID-19, les pirates informatiques n’hésitent pas à adapter leurs campagnes de phishing et leurs malwares en fonction des événements mondiaux et régionaux.
Ils utilisent de nouveaux appâts dans le but de maximiser les chances de succès de leurs attaques.
Au début de la pandémie, les connaissances sur le SRAS-CoV-2 et le COVID-19 étaient très limitées. L’inquiétude du public était énorme et les pirates ont utilisé cette situation à leur avantage.
Les pirates derrière TrickBot, l’une des plus dangereuses menaces de malware, modifient régulièrement leurs appâts en réponse à des événements dignes d’intérêt. Ceci, afin d’augmenter la probabilité que leurs victimes cliquent sur les e-mails et pièces jointes malveillants.
En effet, les pirates derrière TrickBot ont utilisé le COVID-19 et d’autres leurres qui sont liés au coronavirus lorsque le virus a commencé à se propager à l’échelle mondiale et lorsque les gens ont de plus en plus besoin d’avoir des informations sur le virus.
On comprend donc bien pourquoi les pirates informatiques derrière TrickBot ont adopté un nouveau leurre lié à « Black Lives Matter ».
En réalité, d’énormes manifestations ont eu lieu aux États-Unis après la mort de George Floyd des mains d’un policier, et ces manifestations se sont répandues dans le monde entier.
Dans de nombreux pays, les gros titres ont fait état de protestations et de contre-manifestations liées à « Black Lives Matter ». Les pirates n’ont pas tardé à profiter des sentiments du public pour mener leurs attaques.
La dernière campagne de TrickBot avait pour objet « Laissez un commentaire confidentiel sur Black Lives Matter ». Elle a été conçue pour attirer l’attention des personnes qui sont pour et contre les protestations. Les e-mails comprenaient une pièce jointe en format Word appelée e-vote_form_3438.doc, bien que plusieurs variations sur ce thème soient possibles.
Les messages électroniques demandaient aux utilisateurs d’ouvrir et de remplir un formulaire joint à l’e-mail pour qu’ils y déposent leurs commentaires anonymes. Le document Word comporte une macro que les utilisateurs sont invités à activer pour permettre de fournir leurs commentaires.
Cette opération déclenche la macro qui installe une DLL malveillante et qui implique le téléchargement et l’installation du cheval de Troie TrickBot.
TrickBot est un cheval de Troie bancaire, mais il est modulaire et fréquemment mis à jour avec de nouvelles fonctions. Le malware rassemble une série d’informations sensibles. Il peut exfiltrer des fichiers, se déplacer latéralement et installer d’autres variantes de malwares.
TrickBot a été largement utilisé pour installer le ransomware Ryuk comme charge utile secondaire une fois que les pirates informatiques atteignent leurs objectifs.
Les leurres qui ont été mis en œuvre dans le cadre d’une attaque de phishing et les e-mails malveillants changent fréquemment, mais en général, les messages distribuent les mêmes menaces.
Pour contrer ces attaques, il est essentiel de former vos employés sur la sécurité web. Cela peut contribuer à éviter les menaces de phishing et permettre aux employés de traiter les e-mails non sollicités. En sensibilisant vos employés aux dernières tactiques, procédures et techniques d’ingénierie sociale utilisées pour diffuser des malwares, vous pouvez les aider à repérer les menaces qui arrivent dans leur boîte de réception.
Quelle que soit l’astuce que les pirates utilisent pour amener les utilisateurs à ouvrir un e-mail non sollicité ou à cliquer sur lien malveillant, la meilleure mesure de sécurité consiste à s’assurer que vos défenses techniques sont à la hauteur et que les malwares et les scripts malveillants sont repérés, comme tels. Ils doivent être bloqués et ne doivent jamais atterrir dans les boîtes de réception des utilisateurs finaux. C’est un domaine dans lequel TitanHQ peut vous aider.
SpamTitan Cloud est une solution solide de sécurité de la messagerie électronique qui offre une protection contre toutes les attaques cybercriminelles. Un double moteur antivirus peut prévenir toutes les menaces de malwares connues, tandis que les technologies prédictives et le sandboxing fournissent une protection contre les malwares de type « zero day » et les attaques de phishing. Quel que soit le système des e-mails que vous déployez, SpamTitan ajoute une couche de sécurité supplémentaire vitale pour bloquer les menaces avant qu’elles n’arrivent dans les boîtes de réception de vos employés.
Pour plus d’informations sur la façon dont vous pouvez renforcer la protection et bloquer les menaces de phishing, de spear phishing, d’usurpation d’identité par e-mail, de malwares et de ransomwares, appelez l’équipe de TitanHQ dès aujourd’hui.