Une campagne utilisant des alertes sur les certificats de sécurité périmés pour tromper les internautes peu méfiants et les inciter à télécharger des malwares a été détectée. Les alertes ont été diffusées sur plusieurs sites web légitimes, mais qui ont été compromis par des cybercriminels.
Lorsque les visiteurs arrivent sur les sites web compromis, ils reçoivent un message d’erreur qui leur indique que le certificat de sécurité numérique a expiré et qu’ils doivent en télécharger un mis à jour. Le téléchargement et l’exécution du fichier entraînent l’installation d’un malware sur l’appareil de l’utilisateur.
Cette tactique de distribution de malwares n’est pas nouvelle. Les cybercriminels utilisent cette méthode depuis des années pour tromper les utilisateurs et les amener à télécharger des malwares sous le guide d’un navigateur ou d’une mise à jour Flash, mais c’est la première fois que des messages d’erreur de certificats de sécurité de sites web expirés sont utilisés pour la distribution de malwares.
Le message d’erreur NET::ERR_CERT_OUT_OF_DATE est transmis par une iframe qui est superposée au site web à l’aide d’un script jquery.js. L’avertissement correspond à la taille de la page d’origine. C’est donc tout ce que le visiteur voit lorsqu’il arrive sur le site web.
S’il veut voir le contenu, il est invité à mettre à jour son certificat de sécurité pour permettre la connexion au site web. Le contenu du message est chargé à partir d’une ressource web tierce, mais l’URL affichée est celle du site web légitime sur lequel l’utilisateur a navigué.
La manière dont les acteurs de la menace ont compromis les sites web n’est pas claire. Souvent, les sites web sont compromis en utilisant des tactiques de force brute pour deviner des mots de passe faibles. Il est également possible d’utiliser des kits d’exploitation pour cibler les vulnérabilités qui n’ont pas été corrigées.
D’ailleurs, on ne sait pas comment les gens sont redirigés vers les sites web malveillants. En général, le trafic est envoyé vers les sites web compromis par des escroqueries de phishing ou des publicités web malveillantes (malvertising), mais les visiteurs pourraient simplement atterrir sur ces sites en faisant une simple recherche sur Google.
Étant donné que les alertes apparaissent sur des sites web légitimes, les utilisateurs peuvent penser que les messages sont authentiques. L’un des sites web compromis est le site officiel d’un zoo. Kaspersky Lab a également identifié un autre site appartenant à un concessionnaire de pièces automobiles légitime. La campagne est active depuis au moins deux mois.
La protection contre cette méthode de diffusion de malwares nécessite une combinaison de solutions de sécurité. Un logiciel anti-virus à jour est indispensable pour garantir que tout fichier téléchargé sur un ordinateur professionnel est analysé dans le but de détecter les malwares.
Une solution de filtrage du web telle que WebTitan assurera également une protection en empêchant les utilisateurs de visiter des sites web compromis qui sont utilisés pour distribuer des malwares et en bloquant également les téléchargements les fichiers susceptibles d’être malveillants.
Contactez TitanHQ dès aujourd’hui pour en savoir plus sur le filtrage du web et sur la manière dont vous pouvez protéger votre entreprise contre les attaques lancées via le web.
Emotet est la plus grande menace de malwares à laquelle sont confrontées les entreprises et l’activité a considérablement augmenté ces dernières semaines, après une accalmie en décembre.
Plusieurs nouvelles campagnes sont désormais identifiées chaque semaine, dont la plupart ciblent les entreprises. L’une des campagnes les plus récentes utilise une technique éprouvée pour installer le cheval de Troie Emotet. Il s’agit de documents Word malveillants qui se font passer pour des factures, des devis, des renouvellements et des coordonnées bancaires.
La campagne cible principalement des organisations aux États-Unis et au Royaume-Uni, bien que des attaques aient également été détectées en Inde, en Espagne et aux Philippines. Environ 90% des e-mails de phishing d’Emotet ciblent les services financiers, et environ 8 % des attaques visent des entreprises de l’industrie alimentaire et des boissons.
Les documents Word malveillants sont soit joints aux e-mails, soit des hyperliens inclus dans les messages et qui dirigent la victime vers un site web compromis où le document Word est téléchargé. Les sites web utilisés sont fréquemment modifiés et de nouvelles variantes d’Emotet sont fréquemment publiées pour empêcher leur détection. Les solutions de sécurité de la messagerie électronique qui s’appuient sur des moteurs antivirus pour détecter les malwares ont peu de chances de détecter ces menaces du type « zero day ».
Comme Emotet est un botnet massif, les e-mails qui le propagent proviennent de nombreuses sources différentes. Les solutions de sécurité de la messagerie électronique qui s’appuient sur des listes noires en temps réel ont également peu de chances de détecter ces sources comme étant malveillantes.
Emotet est principalement distribué via la messagerie électronique à partir d’appareils infectés, mais une autre méthode de distribution a récemment été identifiée. Le Cheval de Troie se propage également via les réseaux Wi-Fi. Cette méthode est utilisée depuis près de deux ans, mais elle vient seulement d’être détectée par les chercheurs en sécurité de Binary Defense.
Lorsqu’Emotet est installé, un fichier binaire worm.exe s’exécute automatiquement. Il tente de se connecter à des réseaux quasi Wi-Fi et force les mots de passe faibles. Une fois connecté à un réseau Wi-Fi, il recherche des fichiers partagés et non cachés sur le réseau.
Puis, il tente de recenser tous les utilisateurs connectés au réseau Wi-Fi pour permettre au pirate de lancer une attaque de phishing.
Comment bloquer Emotet ?
Les pirates ne cessent de développer de nouvelles tactiques pour rendre la détection Emotet de plus en plus difficile et il n’existe pas de solution unique pouvant assurer une protection contre toutes les formes d’attaque. Ce qu’il faut, c’est une approche de défense en profondeur et des défenses multicouches.
La principale défense contre Emotet est essentiellement basée sur la messagerie électronique, ainsi qu’une solution avancée de filtrage du spam. De nombreuses entreprises utilisent Office 365 et s’appuient sur la protection fournie par Exchange Online Protection (EOP), qui est incluse en standard dans les licences Office 365.
Mais EOP, à elle seule, ne peut pas fournir une protection suffisante contre Emotet. EOP peut bloquer toutes les menaces de malwares connues, mais il peine à identifier les attaques de type « zero day ». Pour ce faire, il faut également adopter d’autres méthodes de détection plus avancées.
SpamTitan a été développé pour fonctionner de manière transparente avec EOP afin de protéger la messagerie électronique d’Office 365 contre les menaces du type « zero day ». Cette solution utilise une variété de techniques pour identifier les différentes formes d’attaques d’Emotet, y compris deux antivirus capables de bloquer les variantes connues d’Emotet. Elle intègre également une fonction de sandboxing pour bloquer les attaques du type « zero day ». Les pièces jointes suspectes ou inconnues sont envoyées dans la sandbox où elles sont soumises à une analyse approfondie pour identifier les actions malveillantes.
En outre, SpamTitan peut analyser les e-mails sortants dans le but d’identifier les tentatives de diffusion d’Emotet à partir d’une machine déjà infectée.
A ceux-ci s’ajoute la DMARC, une fonction qui permet d’identifier les tentatives d’usurpation d’identité et de domaine, lesquelles sont couramment utilisées par les pirates pour diffuser Emotet.
Pour assurer la protection contre les attaques basées sur le web – y compris les e-mails d’Emotet qui utilisent des hyperliens malveillants plutôt que des pièces jointes -une autre couche de sécurité doit être ajoutée pour mieux protéger votre organisation des attaques cybercriminelles. Il s’agit d’une solution de filtrage DNS, telle que WebTitan.
WebTitan utilise la détection des menaces par URL en temps réel, grâce à une base de données alimentée par 650 millions d’utilisateurs. La base de données en temps réel comprend plus de 3 millions d’URL et d’adresses IP malveillantes. Chaque jour, environ 100 000 nouvelles URL malveillantes sont détectées et bloquées.
WebTitan comprend également la catégorisation et la détection en temps réel des domaines, des URL et des IP malveillants, avec des mises à jour à la minute près pour bloquer les nouvelles sources malveillantes. Dès qu’une URL est identifiée comme pouvant distribuer Emotet (ou d’autres malwares), elle est bloquée par WebTitan.
WebTitan effectue également une analyse des liens et des contenus web, une analyse statique, heuristique et des anomalies de comportement. Cette solution intègre plusieurs outils et pour protéger les utilisateurs contre les menaces du web.
Enfin, vous devriez également ces autres mesures pour faire face à la menace d’Emotet :
Désactiver les macros dans toute l’organisation
Veiller à ce que les systèmes d’exploitation soient tenus à jour et à ce que les vulnérabilités soient rapidement corrigées.
Définir des mots de passe forts pour contrecarrer les attaques par la force brute
Veiller à ce que les solutions de protection des points d’accès soient déployées sur tous les appareils
Fournir une formation de sensibilisation à la sécurité à vos employés
Effectuer des exercices de simulation de phishing pour identifier les employés qui ont besoin d’une formation complémentaire.
Les contribuables et les professionnels de l’impôt sont ciblés par des escrocs qui se font passer pour l’IRS (Internal Revenue Service). L’objectif de cette nouvelle attaque de phishing est de diffuser des malwares qui volent des informations. Le logiciel malveillant récolte des informations d’identification qui sont ensuite utilisées pour accéder à des comptes financiers et les vider.
La campagne utilise au moins deux lignes d’objet pour les e-mails : « Electronic Tax Return Reminder » et « Automatic Income Tax Reminder ». Les e-mails contiennent un hyperlien qui dirige l’utilisateur vers un site web qui ressemble de près à IRS.gov. Les e-mails comprennent un mot de passe unique que la personne ciblée peut utiliser pour ouvrir une session afin de soumettre une demande de remboursement d’impôt.
Lorsque l’utilisateur ouvre une session sur le site, le message l’informe qu’il doit télécharger un fichier afin de soumettre son remboursement. En réalité, le fichier contient un malware enregistreur de frappe qui enregistre les frappes sur un ordinateur infecté, permettant ainsi aux attaquants de soutirer des informations sensibles concernant leurs cibles.
Des avertissements ont été émis après que plusieurs contribuables et professionnels de l’impôt aient signalé les e-mails de phishing à l’IRS. Des efforts ont été menés dans le but de perturber la campagne, mais l’IRS note que des douzaines de sites web compromis et d’URL malveillantes sont utilisés par les escrocs.
L’IRS a déjà contacté les sociétés d’hébergement web pour qu’elles ferment les sites malveillants, mais le nombre d’URL utilisées rend la tâche très difficile. Dès qu’une URL est supprimée, d’autres apparaissent.
Les arnaqueurs misent sur l’offre de remboursement d’impôt ou la menace d’une action en justice pour des questions fiscales. C’est ce qui a incité de nombreuses personnes à cliquer sur les liens malveillants contenus dans les messages, sans avoir préalablement évalué le contenu du message et la légitimité de la demande.
Le conseil de l’IRS est de ne jamais cliquer sur un lien contenu dans un e-mail non sollicité prétendant provenir de l’IRS. L’IRS ne prend jamais l’initiative de communiquer avec les contribuables par e-mail, par message texte ou par les médias sociaux, et aucune demande de renseignements personnels n’est jamais envoyée via ces canaux.
Le dernier avertissement survient quelques mois seulement après que l’IRS et les partenaires du Security Summit aient rappelé que tous les préparateurs de déclarations de revenus professionnels sont tenus par la loi « FTC Safeguards Rule » et doivent mettre en œuvre un plan écrit de sécurité des informations pour s’assurer que les informations fiscales de leurs clients sont correctement protégées.
Ce rappel a été émis parce qu’il était devenu évident que de nombreux professionnels de l’impôt n’étaient pas conscients de leurs obligations de mettre en œuvre un plan de sécurité pour protéger les données fiscales de leurs clients.
Le plan de sécurité de l’information doit comporter plusieurs éléments :
Désigner un ou plusieurs employés pour coordonner le plan de sécurité de l’information
Effectuer une analyse des risques afin de déterminer les risques pour la confidentialité des données des clients
Évaluer l’efficacité des mesures de protection actuelles
Mettre en œuvre, surveiller et mettre à l’essai le programme de garanties
Opter uniquement pour des fournisseurs de services qui peuvent maintenir des mesures de protection appropriées et superviser le traitement des données des clients
Évaluer et mettre à jour le programme de sécurité, s’il y a lieu, en fonction des changements apportés aux pratiques commerciales et aux opérations
Les exigences relatives au plan de sécurité de l’information sont souples. Par exemple, les préparateurs de déclarations peuvent choisir les mesures de protection à mettre en œuvre en fonction de leur propre situation et des résultats de leurs analyses de risque.
Les deux principales mesures de protection qui protègent les entreprises contre le phishing et les attaques de malwares sont un filtre anti-spam et un filtre web. Le filtre anti-spam protège le système de messagerie en identifiant et en bloquant les messages malveillants tels que les e-mails de phishing et les spams, tandis qu’un filtre web bloque les attaques sur le web et les téléchargements de malwares. Ces deux solutions sont très efficaces pour bloquer le phishing et les attaques de malwares, tout en étant peu coûteuses à mettre en œuvre.
Pour en savoir plus sur la façon dont les filtres anti-spam et les filtres web peuvent protéger votre entreprise et vous aider à assumer vos responsabilités légales, contactez TitanHQ dès aujourd’hui.
Un nouveau ransomware dénommé Ako est apparue. Ce dernier cible les réseaux commerciaux et est distribué via le spam. Il est proposé aux affiliés selon le modèle « Ransomware as a Service ».
Le but des attaquants est clair : maximiser la probabilité de paiement de la rançon en rendant la récupération des données et des fichiers chiffrés plus difficile et en volant des données avant leur chiffrement pour garantir que l’attaque est toujours rentable même si la rançon n’est pas payée.
Le fait que les pirates possèdent les données de la victime pourrait également la convaincre de payer, comme nous l’avons vu dans les récentes attaques impliquant les ransomwares Maze et Sodinokibi, où les pirates menaçaient de publier des données volées si la rançon n’était pas payée.
Comment fonctionne le ransomware Ako ?
Les développeurs du ransomware Ako semblent opter pour des paiements de rançon importantes, car ils ne ciblent pas les postes de travail individuels, mais l’ensemble d’un réseau.
Le ransomware analyse les réseaux locaux à la recherche d’autres appareils et chiffre les partages réseau. Puis il supprime les clichés instantanés qui sont enregistrés sur le système et les sauvegardes récentes. Il désactive également les anciens points de restauration Windows pour rendre la récupération plus difficile si la victime ne paye pas la rançon.
Les fichiers chiffrés reçoivent une extension de fichier générée de manière aléatoire et conservent leurs noms de fichier d’origine. Le montant de la rançon n’est pas indiqué dans la notification de rançon. Les victimes doivent contacter les attaquants pour savoir combien ils devront payer pour obtenir les clés permettant de déchiffrer leurs fichiers.
De quel type d’email faut-il se méfier ?
L’un des e-mails interceptés, et qui ont été utilisés pour distribuer le ransomware, utilise un fichier zip protégé par mot de passe en tant que pièce jointe. L’e-mail semble être un accord commercial que le destinataire est invité à vérifier.
Le mot de passe pour ouvrir et extraire le fichier est inclus dans le corps du message. Le fichier zip attaché, nommé agreement.zip, contient un fichier exécutable qui installera le ransomware Ako une fois qu’il sera exécuté. Le fichier malveillant est appelé agreement.scr.
Comment récupérer ses données suite à une attaque d’Ako ?
Il n’y a pas de déchiffreur gratuit pour le ransomware Ako. La victime ne pourra pas récupérer leurs données si elle ne paye pas la rançon, sauf si celle-ci dispose des sauvegardes viables, c’est-à-dire des données qui n’ont pas été chiffrées par les pirates.
Il est donc important de s’assurer que les sauvegardes sont effectuées régulièrement et qu’au moins une copie de la sauvegarde est stockée sur un appareil non connecté au réseau pour éviter qu’elle ne soit également chiffrée par le ransomware. Les sauvegardes doivent également être testées pour s’assurer que la récupération de fichiers soit possible en cas d’incident.
Comment se protéger contre le ransomware Ako ?
Étant donné que le ransomware Ako est distribué via le spam, cela donne aux entreprises la possibilité de bloquer une attaque. Une solution de filtrage anti-spam avancée doit être implémentée pour analyser tous les messages entrants à l’aide de divers mécanismes de détection.
La solution doit également permettre d’identifier les menaces de malware et de ransomware. Par ailleurs, il faut utiliser un Sandbox, une fonctionnalité importante qui permettra d’analyser en toute sécurité les pièces jointes des e-mails pour détecter toute activité malveillante. Cette fonctionnalité améliorera les taux de détection des menaces du type « zero day ».
La formation des utilisateurs est aussi importante pour garantir que les employés n’ouvrent aucun fichier potentiellement malveillant qu’ils reçoivent par e-mail. La formation devrait obliger les employés à ne jamais ouvrir les pièces jointes dans les e-mails non sollicités provenant d’expéditeurs inconnus. Comme le montre cette campagne, tout fichier protégé par mot de passe envoyé dans un e-mail non sollicité doit être considéré comme une menace importante. En général, c’est la manière la plus courante que les pirates utilisent pour distribuer des ransomwares et des malwares, tout en évitant la détection par des solutions antivirus et des filtres anti-spam.
Les solutions anti-spam et les logiciels antivirus ne pourront pas détecter directement la menace si des fichiers malveillants sont envoyés dans des archives protégées par mot de passe. Les règles doivent donc être définies pour mettre en quarantaine les fichiers protégés par mot de passe, lesquels ne devraient être libérés qu’après avoir été vérifiés manuellement par un administrateur. Avec SpamTitan, ces règles sont faciles à définir.
Le ransomware Ako est l’une des nombreuses nouvelles menaces de ransomware publiées ces derniers mois. Si on compte les attaques de grande envergure contre des entreprises, comme celle menées contre Travelex, qui voient des demandes massives de rançon émises et qui sont dans la plupart des cas payées, les pirates réalisent des gains importants.
Les développeurs de ransomwares continueront de développer de nouvelles attaques tant que celles-ci resteront rentables, et il est peu probable que les affiliés soient prêts à lancer des campagnes de spam pour obtenir leur part d’argent sur les rançons.
Face à l’augmentation des attaques cybercriminelles, il est essentiel que vous disposiez de défenses solides, capables de détecter et de bloquer les malwares, les ransomwares et les menaces de phishing. C’est un domaine où TitanHQ peut vous aider.
Pour en savoir plus sur la façon dont vous pouvez améliorer vos défenses contre les e-mails malveillants et sur les menaces web, appelez l’équipe TitanHQ dès aujourd’hui.
Toute entreprise qui traite des paiements par carte est une cible potentielle pour les cybercriminels, mais les restaurants en particulier sont descibles de prédilection. Au cours des dernières semaines, les pirates ont intensifié leurs efforts pour s’attaquer à plusieurs chaînes de restaurants qui ont ainsi vu leurs systèmes compromis.
Dans tous les cas, des malwares ont été installés sur leurs systèmes de points de vente. Les malwares volent les informations des cartes de paiement au moment où les clients paient leurs repas.
De nombreuses attaques ont touché des chaînes de restaurants dans le Midwest et l’Est des États-Unis, les données des cartes de crédit des clients ayant récemment été mises en vente sur le marché clandestin dénommé Joker’s Stash. Un lot d’environ 4 millions de cartes de crédit et de débit a été mis en vente, provenant d’attaques de malwares chez Moe’s, McAlister’s Deli, Krystal et Schlotzsky.
La cyberattaque contre Krystal a été détectée en novembre 2019, tandis que trois autres chaînes de restaurants, toutes détenues par Focus Brands, ont été attaquées en août dernier. Au total, les chaînes susmentionnées comptent plus de 1 750 restaurants. Près de la moitié de ces établissements de restauration, situés pour la plupart en Alabama (Floride), en Géorgie et en Caroline du Nord et du Sud, ont été touchés.
Catch Hospitality Group a également annoncé en novembre dernier avoir été victime d’une cyberattaque suite à laquelle des malwares avaient été installés sur son système de points de vente. Les malwares exfiltraient les données des cartes de paiement au fur et à mesure que les clients payaient leurs repas. La violation des données a touché les clients des restaurants Catch NYC, Catch Roof et Catch Steak.
Heureusement, les appareils utilisés pour traiter la majorité des paiements n’ont pas été touchés. Pour autant, des malwares étaient présents sur les appareils Catch NYC et Catch Roof entre mars et octobre 2019, et Catch Steak a été touché entre septembre et octobre 2019.
Les restaurants Church’s Chicken ont également été attaqués lors d’un autre incident qui s’est produit octobre. La majorité de ses 1 000 restaurants n’ont pas été touchés, mais au moins 160 établissements en Alabama, en Arkansas, en Floride, en Géorgie, dans l’Illinois, en Louisiane, au Mississippi, au Missouri, en Caroline du Sud, au Tennessee et au Texas avaient été touchés par des malwares qui se sont installés sur leurs systèmes de points de vente.
Parmi les autres chaînes de restaurants qui ont été attaquées en 2019, on compte Checker’s Drive-In, Cheddar’s Scratch Kitchen, Huddle House, Applebee’s, Chilli’s et Earl Enterprises (Buca di Beppo, Chicken Guy, Tequila Taqueria, Mixology, Planet Hollywood). Les malwares qui se sont installés dans les systèmes de points de vente d’Earl Enterprises étaient présents depuis près d’un an avant d’être détectés.
Comment améliorer la cybersécurité dans les restaurants ?
Les restaurants traitent plusieurs milliers de transactions par carte bancaire, ce qui en fait d’eux des cibles attrayantes pour les pirates informatiques.
Les restaurants utilisent souvent des systèmes d’exploitation obsolètes, disposent des matériels anciens qui présentent des vulnérabilités, et leurs solutions de cybersécurité sont souvent à désirer. Par conséquent, les cyberattaques contre les restaurants sont relativement faciles à réaliser, du moins par rapport à de nombreux autres types d’entreprises.
Pour infecter un système de points de vente, les attaquants doivent disposer d’un accès au réseau de l’établissement. Le plus souvent, cet accès est obtenu par le biais d’emails de phishing, de téléchargements de malwares en mode « drive-by » ou en abusant des outils d’accès à distance.
Les pirates peuvent aussi mener des attaques directes à l’aide de diverses techniques telles que l’injection SQL et l’exploitation de mots de passe faibles qui leur permettent de les deviner facilement via des attaques par force brute.
Les malwares qui s’installent sur les systèmes et qui exfiltrent les données ont généralement une très petite empreinte. Ils sont souvent furtifs, car ils peuvent être présents dans votre réseau pendant de longues périodes afin de collecter les données des cartes de paiement. Il vous sera donc très difficile de les détecter une fois qu’ils sont installés.
Pour contrer ces menaces, vous devez améliorer vos défenses et vous assurer qu’aucun malwares n’est pas déjà installé sur votre réseau. En d’autres termes, vous devez empêcher les pirates d’accéder à votre réseau.
Vous trouverez ci-dessous quelques mesures faciles à mettre en œuvre et qui pourront aider les gérants des restaurants à améliorer leur posture de sécurité et à bloquer les attaques. L’une des meilleures solutions est de mettre en place une solution de sécurité en profondeur et à plusieurs niveaux.
Utiliser un pare-feu d’entreprise
Veillez à ce qu’un pare-feu d’entreprise soit mis en place. Cela empêchera les personnes non autorisées d’accéder à vos ressources réseau.
Appliquez rapidement des correctifs et mettez à jour tous vos logiciels et programmes
Veillez à ce que les correctifs soient appliqués rapidement et à ce que les mises à jour des logiciels et microprogrammes soient mises en œuvre dès leur publication.
Cela inclut tous les systèmes et appareils qui peuvent se connecter à votre réseau, et pas seulement vos points de vente.
Mettez vos équipements à niveau
Lorsque vos matériels arrivent en fin de vie, il est temps de les mettre à niveau. Souvent, les matériels et logiciels qui ne sont plus pris en charge ne pourront plus être mis à jour et les vulnérabilités ne seront plus corrigées.
Verrouillez vos points de vente
Utilisez la liste blanche et verrouillez vos systèmes de points de vente pour rendre l’infection par des malwares plus difficile.
N’autorisez que les applications de confiance à s’exécuter sur vos systèmes de points de vente.
Installez un logiciel antivirus puissant
Veillez à ce que tous vos appareils soient protégés par une solution antivirus puissante et qu’ils soient configurés pour mettre à jour automatiquement leur base de données concernant les virus.
Recherchez régulièrement les malwares sur le réseau, en particulier sur vos points de vente.
Mettez en place un système de détection des intrusions
Ces systèmes surveillent votre réseau dans le but de détecter toute activité inhabituelle qui pourrait indiquer une infection par un malware, les tentatives d’intrusion par des pirates dans vos points de vente et tout autre trafic inhabituel qui pourrait être dangereux.
Les cybercriminels changent constamment de tactique et trouvent de nouvelles façons de tromper les gens pour qu’ils remettent leurs identifiants ou installent des malwares. De nouvelles campagnes sont lancées quotidiennement, avec des leurres éprouvés tels que de faux avis de livraison de colis, de fausses factures et de faux bons de commande, ainsi que des demandes de collaboration très courantes.
Récemment, un groupe de pirates a opté pour un leurre rarement vu, mais qui a le potentiel d’être très efficace. Il s’agit de fausses assignations à comparaître devant le tribunal. Les emails font appel à la peur et l’urgence, amenant ainsi les utilisateurs à paniquer et à les ouvrir rapidement.
Cette campagne est en cours depuis quelques semaines et vise les utilisateurs du Royaume-Uni, bien que l’arnaque puisse facilement être adaptée et utilisée dans des attaques contre des utilisateurs d’autres pays.
De nombreuses escroqueries de phishing ont pour but de voler des identifiants pour permettre d’accéder à des comptes de messagerie ou à des comptes Office 365. Pour ce cas précis, l’objectif était de diffuser malware voleur d’informations appelé « Predator the Thief ».
Les emails de phishing semblent avoir été envoyés par le ministère de la Justice du Royaume-Uni. Le champ expéditeur porte le nom du ministère de la Justice et les emails portent l’écusson du ministère de la Justice.
Les emails avertissent l’utilisateur qu’il a été assigné à comparaître en justice. Il reçoit un numéro de dossier et la date à laquelle il a été assigné à comparaître. Les messages comprennent également un hyperlien sur lequel l’utilisateur doit cliquer pour connaître les détails de l’accusation et les documents qu’il devra apporter avec lui au tribunal. Pour rendre le message encore plus urgent, les pirates ont ajouté un avertissement, mentionnant que le destinataire ne dispose que de 14 jours pour répondre à l’avis et que l’affaire se poursuivra sans lui s’il ne répond pas.
L’URL de l’email semble bénigne, car elle renvoie l’utilisateur à Google Docs – un site Web de confiance. En cliquant sur le lien, il sera d’abord dirigé vers Google Docs, puis redirigé vers OneDrive. Lorsqu’il arrive sur le site de OneDrive, un document est téléchargé. Ce document contient une macro malveillante qui lance une commande PowerShell, téléchargeant ensuite le malware « Predator the Thief ».
« Predator the Thief » est un voleur d’informations qui peut faire des captures d’écran et voler les informations d’identification des emails et des protocoles FTP, ainsi que les portefeuilles de devises cryptographiques et les informations du navigateur. Contrairement à de nombreux voleurs d’informations sur les navigateurs, cette variante de malware ne cible pas seulement les navigateurs principaux, mais une multitude de navigateurs moins populaires. Une fois les informations volées, le malware se nettoie et quitte le système, ce qui rend la détection de l’infection plus difficile.
Les escroqueries de phishing de ce type soulignent la nécessité d’une sécurité à plusieurs niveaux. Naturellement, une solution antispam avancée telle que SpamTitan doit être mise en œuvre pour bloquer ces menaces et garantir que les messages malveillants n’arrivent pas dans les boîtes de réception des utilisateurs finaux. SpamTitan comprend également une authentification DMARC des emails pour bloquer les tentatives d’usurpation d’identité et une sandbox où les pièces jointes des emails sont analysées pour détecter les actions malveillantes.
SpamTitan bloque plus de 99,9 % de tous les emails malveillants, mais il n’est pas possible de bloquer 100 % des menaces, quelle que soit la solution de sécurité de messagerie que vous utilisez. C’est là qu’une autre couche est nécessaire. WebTitan est une solution de filtrage DNS qui bloque les menaces de ce type au cas où une recherche DNS est effectuée. Cela permet de bloquer les sites web avant qu’un contenu malveillant ne soit téléchargé. WebTitan peut également être configuré pour bloquer les téléchargements de certains types de fichiers.
Avec ces deux solutions en place, votre entreprise sera bien protégée contre les emails de phishing et les téléchargements de malwares via le web.
