Les attaques mails liées au coronavirus évoluent avec la propagation de l’épidémie

Une nouvelle recherche de F-Secure’s Tactical Defense Unit met en lumière la façon dont les attaques par courrier électronique en lien avec le coronavirus se sont propagées à l’ouest avec le virus.

Les cyber criminels et autres acteurs tentent souvent de tirer parti de l’actualité. Il les aide à inciter les utilisateurs sans méfiance à, par exemple, cliquer sur un lien malveillant dans un e-mail ou à ouvrir une pièce jointe malveillante.

Alors qu’à travers le monde, les gens commencent à restreindre leurs mouvements dans l’espoir de freiner la propagation du coronavirus, les spammeurs et les hameçonneurs sont à l’affût. Ils veulent profiter de la demande en ligne d’informations sur la pandémie.

F-Secure a observé de plus en plus d’attaques sur le thème du coronavirus. Voici quelques détails sur ce que font les hackers, à quoi faire attention et comment les gens peuvent rester en sécurité en travaillant à distance.

Campagnes Malspam

F-Secure’s Tactical Defense Unit suit les campagnes sur le thème du coronavirus depuis janvier. Les campagnes des pirates informatiques se sont largement étendues à de nouvelles régions en lien avec le virus. Karmina Aquino, chef de service dans l’unité, a remarqué que les mails suivaient les actualités et les conseils. Les premières campagnes observées visaient des clients au Japon. Mais les attaques ont continué de se déplacer vers l’ouest. Les exemples dans la chronologie ci-dessous montrent comment le contenu des messages de spam reflétait les développements réels avec le virus (parfois dans les 24 heures suivant ces développements apparaissant dans les actualités).

“Bien que l’utilisation des thèmes actuels ne soit pas nouvelle pour les pirates informatiques, ce qui est intéressant à noter ici, est l’évolution du contenu du mail”, explique la chercheuse F-Secure Maria Patricia Revilla Dacuno. «Encore plus intéressant est l’utilisation des informations d’actualité ou des conseils comme base pour les sujets des mails. Cela permet de valider le mail lui-même. »

Les malware utilisés dans ces campagnes comprennent:

• Emotet et Trickbot – menaces modulaires qui fournissent différentes charges utiles à différentes cibles. Emotet était à l’origine un cheval de Troie bancaire qui a été mis à jour / mis à niveau pour inclure de nouvelles fonctionnalités, telles que l’infostealing et la livraison de malware. Il est connu pour fournir Trickbot, qui fournit ensuite le ransomware Ryuk.
• Agent Tesla – un infostealer qui a des capacités de journalisation pour voler les informations d’identification (email & mot de passe) aux messageries.
• Formbook – un infostealer qui recueille les informations sensibles de la victime, telles que les mots de passe / informations d’identification.
• Lokibot – un infostealer qui recueille les informations d’identification et les mots de passe, des clients FTP et des portefeuilles CryptoCoin.
• Remcos RAT – un outil d’accès à distance utilisé par les cyber criminels qui permet au hacker de contrôler le système d’une victime à distance et d’exécuter des commandes.

Voici les sujets de mails les plus couramment utilisés dans les spams sur le thème du coronavirus:

Masquer les escroqueries

Parallèlement aux mails de spam chargés de malware, F-Secure a observé une quantité importante de spam qui capitalisent sur la pénurie généralisée de masques. Selon Patricia, ces mails sont des arnaques courantes. Ils incitent les destinataires à payer, mais les personnes malveillantes ne leur envoient rien.

«Cela semble simple, mais c’est un bon exemple d’ingénierie sociale. Les gens se mettent déjà sous pression pour prendre des précautions contre le virus, et ces publicités tentent de les attirer, de leur donner l’impression qu’une solution n’est qu’à un clic », explique Patricia.

Voici les objets de mails les plus couramment utilisés pour les escroqueries au masque :

Voici les sujets de mails les plus utilisés pour les escroqueries au masque sur le thème du coronavirus :

Rester en sécurité ne se limite pas à éviter les spams

Les nouvelles ne sont pas toutes mauvaises, du moins en ce qui concerne la cyber sécurité. Les courriers indésirables ne sont pas nouveaux. Aucune nouvelle méthode de kill-chain ou nouveau type de malware n’a été observé. Les références au coronavirus sont destinées à générer un taux de clics plus élevé. Ainsi, tant que les utilisateurs font preuve de discernement et de prudence avant de cliquer, le spam est un problème gérable.

De nombreuses entreprises à travers le monde réagissent à la crise en demandant ou en obligeant leurs employés à travailler à distance. Pour certaines entreprises et certains employés, il s’agit d’une méthode de travail inconnue, ce qui pourrait avoir des répercussions sur la sécurité.

Les entreprises doivent s’assurer que les technologies d’accès à distance sécurisées, telles que le VPN, sont en place et configurées correctement, y compris l’utilisation de l’authentification multifacteur, afin que les employés puissent mener leurs activités de manière tout aussi sécurisée qu’au bureau. Il est également important que les entreprises demandent aux travailleurs d’éviter d’utiliser des appareils personnels non autorisés pour le travail, car ces appareils sont rarement surveillés pour détecter les intrusions.