La pandémie a complètement chamboulé les menaces par messagerie électronique. Le passage massif au télétravail et le transfert inévitable de la plupart des communications à un format en ligne ont stimulé la croissance des attaques par hameçonnage et BEC. Ce flux plus important de correspondance professionnelle a énormément simplifié le travail des cybercriminels et leur a permis de dissimuler plus facilement leurs messages parmi les e-mails légitimes. C’est pourquoi l’imitation de messages professionnels est devenue un vecteur d’attaque important. Diverses astuces d’ingénierie sociale, comme une notification qui demande à la victime de répondre immédiatement à un e-mail, ont un nouveau souffle. Voici les principales tendances que nous avons observées en 2022 :
- Hausse de l’envoi de spams avec un contenu malveillant pour infecter l’ordinateur de la victime
- Utilisation active des méthodes d’ingénierie sociale dans des e-mails malveillants qui ressemblent plus à du harponnage (spear phishing). Ajouter des signatures qui imitent des services spécifiques, utiliser des termes professionnels et un contexte approprié pour l’entreprise ciblée, utiliser le piggybacking des événements actuels et mentionner les employés de l’entreprise.
- Usage généralisé de l’usurpation d’identité (spoofing) avec l’utilisation d’adresses e-mail dont les noms de domaine sont similaires à ceux des entreprises prises pour cible (avec seulement quelques lettres différentes).
Par conséquent, les escrocs qui envoient des spams malveillants ont réussi à faire croire qu’il s’agissait de messages internes et professionnels entre les entreprises, voire de notifications d’institutions publiques. Voici les exemples les plus représentatifs que nous avons rencontrés cette année.
Des e-mails avec un programme malveillant
La principale tendance de l’année qui vient de s’écouler a été l’envoi de messages malveillants qui se présentent comme des conversations professionnelles. Pour que le destinataire ouvre la pièce jointe ou télécharge le fichier associé, les cybercriminels essaient généralement de le convaincre que l’e-mail contient des informations importantes, comme une offre commerciale ou la facture d’une livraison. Le programme malveillant se trouve généralement dans une archive chiffrée, et le mot de passe se trouve dans le corps du message.
Par exemple, tout au long de l’année nous avons trouvé la méthode suivante : les cybercriminels ont eu accès à des conversations professionnelles banales (probablement en les volant d’un ordinateur infecté auparavant) et ont envoyé de nouveaux messages à tous les participants avec des fichiers ou des liens malveillants. En d’autres termes, ils ont pu développer une conversation plausible. Avec cette astuce, il est plus difficile de détecter les e-mails malveillants et la victime est plus susceptible de cliquer.
Dans la plupart des cas, lorsqu’un document malveillant s’ouvre, il s’agit du cheval de Troie Qbot ou Emotet. Les deux programmes peuvent voler les données utilisateur, recueillir les informations du réseau de l’entreprise ou distribuer un autre programme malveillant, comme un rançongiciel. De plus, Qbot peut être utilisé pour accéder aux e-mails et les voler. Il est utilisé comme source de correspondance pour lancer d’autres attaques.
La fin de l’année approche et les e-mails malveillants sont de plus en plus originaux. Par exemple, début décembre, les escrocs ont fait croire qu’ils étaient une organisation caritative et ont demandé aux victimes de donner leur vieux matériel. Évidemment, pour participer à cette noble cause, l’utilisateur devait télécharger un fichier qui était soi-disant la liste des dispositifs acceptés. En réalité, la pièce jointe était un fichier exécutable malveillant caché dans une archive protégée par un mot de passe.
Lors d’une autre campagne, les escrocs faisaient référence à des factures et envoyaient des dizaines de milliers d’archives avec un cheval de Troie malveillant qui contenait une porte dérobée et permettait de prendre le contrôle de l’ordinateur infecté à distance. Plus intéressant encore, l’archive jointe avaient des extensions comme .r00, .r01, etc. Il est fort probable que les créateurs voulaient partager la pièce jointe dans le cadre d’une archive RAR plus importante afin de déjouer les systèmes de protection automatique configurés pour certaines extensions de fichiers.
De fausses notifications du gouvernement
Les e-mails qui imitent les communications officielles de ministères ou d’autres services du gouvernement ont été plus courants cette année. Cette tendance est particulièrement vraie pour les utilisateurs d’Internet qui parlent russe. Les e-mails de ce genre sont personnalisés selon le profil de l’entreprise prise pour cible. L’adresse de l’expéditeur ressemble généralement au nom du domaine du service réel et la pièce jointe malveillante a souvent un sujet pertinent comme « Conclusions des résultats de la réunion ». Une pièce jointe de ce genre contenait un code malveillant qui permettait d’exploiter une vulnérabilité dans Equation Editor, un composant de Microsoft Office.
Le piggybacking des événements actuels
Nous avons également constaté une hausse de l’activité de messages malveillants qui reposent sur l’actualité pour les utilisateurs Internet qui parlent russe. Par exemple, en octobre les cybercriminels ont distribué un programme malveillant qui se faisait passer pour des appels de commande et exploitait la « mobilisation partielle » de la Russie. Les e-mails mentionnaient le code pénal russe, utilisaient le logo et le style du ministère de la défense, et demandaient au destinataire de télécharger le document via le lien fourni. En réalité, le lien ouvrait une archive avec un script exécutable qui créait un fichier exécutable et le lançait.
De plus, nous avons enregistré un message soi-disant envoyé par les forces de l’ordre russes. Le message demandait à la victime de télécharger une « nouvelle solution » afin de se protéger contre les menaces en ligne d’organisations « hostiles ». Pourtant, le programme vraiment installé sur l’ordinateur était un cheval de Troie rançongiciel.
Comment vous protéger
Les techniques utilisées par les cybercriminels sont de plus en plus sophistiquées et les méthodes qui consistent à imiter les messages professionnels sont de plus en plus convaincantes. Afin de protéger votre infrastructure contre les attaques par e-mail, faites attention aux mesures organisationnelles et techniques. En d’autres termes, en plus des solutions de sécurité installées au niveau du serveur de messagerie et sur tous les dispositifs connectés à Internet, nous vous conseillons de former régulièrement vos employés en cybersécurité.