Une nouvelle campagne de spam vient d’être détectée. Elle s’appuie sur la popularité de Greta Thunberg et utilise le nom de la militante écologiste afin d’inciter les individus à installer le cheval de Troie bancaire Emotet.
Emotet est l’une des menaces de malwares les plus actives. Il a été détecté pour la première fois en 2014. À l’origine, ce cheval de Troie a été utilisé pour voler les informations d’identification bancaires en ligne des utilisateurs de Windows en interceptant le trafic internet.
Au fil des ans, il a fait l’objet de plusieurs mises à jour pour permettre aux pirates d’ajouter de nouvelles fonctionnalités. Un module de spam malveillant a été ajouté, ce qui lui permet d’envoyer des copies de lui-même par email aux contacts d’un utilisateur. Emotet comprend également un téléchargeur de malwares qui lui permet de télécharger une série d’autres variantes de malwares comme d’autres chevaux de Troie bancaires et des ransomwares.
Les malwares sont utilisés dans les attaques contre les particuliers, les entreprises et les organismes gouvernementaux, mais ces deux derniers sont les principales cibles des pirates. Emotet est principalement diffusé par le biais des emails non sollicités, et si les kits d’exploitation ne sont pas utilisés pour infecter d’autres appareils sur le réseau – à l’exemple d’EternalBlue – d’autres variantes de malwares téléchargés par Emotet peuvent le faire, comme TrickBot.
La campagne de spam Greta Thunberg vise à inciter les utilisateurs à ouvrir une pièce jointe Word malveillante et à activer son contenu. Si cela se produit, Emotet sera téléchargé en silence sur l’appareil de l’utilisateur. Les pirates peuvent alors voler des informations bancaires sensibles et télécharger d’autres malwares.
La campagne s’est déroulée pendant les vacances et a utilisé divers leurres sur le thème de Noël pour inciter les utilisateurs à ouvrir la pièce jointe à l’email. D’autres emails ne contenaient pas de pièce jointe et utilisaient plutôt un lien hypertexte qui dirige l’utilisateur vers un site web où le document malveillant pouvait être téléchargé.
L’un des emails souhaitait un joyeux Noël à son destinataire et l’exhorte à considérer l’environnement en cette période de Noël et à se joindre à une manifestation pour protester contre le manque d’action des gouvernements pour lutter contre la crise climatique. Le message prétendait que les détails concernant l’heure et le lieu de la manifestation étaient inclus dans le document Word. Il demandait également au destinataire d’envoyer immédiatement l’email à tous ses collègues, ses amis et ses parents afin d’obtenir leur soutien. Plusieurs variantes d’attaques sur ce thème ont été détectées.
Afin d’augmenter la probabilité que le destinataire active le contenu lorsque le document est ouvert, l’email affiche un avertissement qui semble avoir été généré par Microsoft Office. L’utilisateur est informé que le document a été créé dans OpenOffice et qu’il est nécessaire d’activer d’abord l’édition puis le contenu. Cette dernière opération activera les macros qui lanceront le processus d’infection.
Les emails sont bien écrits et ont été conçus pour obtenir une réponse émotionnelle, ce qui augmente la probabilité que l’utilisateur exécute l’action demandée. Les emails ont été envoyés en plusieurs langues dans de nombreux pays différents.
Chaque fois qu’un événement d’actualité important survient, tel qu’un tournoi sportif populaire ou tout autre événement suscitant un intérêt mondial, les cybercriminels en profitent. Quel que soit le thème de l’email, s’il est non sollicité et s’il vous demande de cliquer sur un lien ou d’ouvrir une pièce jointe, il est préférable de supposer qu’il est malveillant.
Les entreprises peuvent protéger leurs réseaux contre de telles menaces en mettant en œuvre une solution avancée de filtrage du spam telle que SpamTitan. SpamTitan identifiera les menaces comme les attaques de phishing et empêchera les messages d’atteindre les boîtes de réception des utilisateurs finaux. SpamTitan comprend également deux moteurs anti-virus qui lui permettent de détecter les malwares connus et les techniques d’apprentissage machine. Par ailleurs, cette solution intègre le « sandboxing » qui permet d’identifier et de bloquer les malwares de type « zero-day ».
Pour plus d’informations sur la façon dont SpamTitan peut protéger votre entreprise contre les menaces de ce type, contactez TitanHQ dès aujourd’hui.