Les employés qui reçoivent des centaines d’e-mails sont souvent tentés de les lire rapidement et de télécharger les fichiers joints sans les analyser. Les cybercriminels, bien entendu, profitent de cette situation et envoient des documents soi-disant importants qui peuvent contenir tout et n’importe quoi, comme des liens d’hameçonnage qui redirigent vers un malware. Récemment, nos experts ont découvert deux campagnes de spam qui diffusent les chevaux de Troie bancaires IcedID et Qbot.
Des spams contenant des fichiers malveillants
Les deux campagnes ressemblent à des messages de correspondance commerciale. Dans la première, les cybercriminels demandent un dédommagement pour une chose inventée ou alors ils mentionnent une opération annulée. Au message est joint un fichier Excel compressé, nommé DemandeDédommagement suivi de plusieurs numéros. La deuxième campagne concerne des paiements et des contrats et contient un lien qui redirige vers le site web piraté sur lequel se trouve le document.
Dans les deux cas, le but des cybercriminels est d’inciter le destinataire à ouvrir le fichier malveillant au format Excel et d’exécuter la macro qui se trouve à l’intérieur afin d’installer IcedID (la plupart du temps) ou bien Qbot sur l’ordinateur de la victime.
IcedID et Qbot
Les chevaux de Troie IcedID et Qbot sont là depuis des années. IcedID a attiré l’attention des chercheurs en 2017 et Qbot en 2008. De plus, les cybercriminels sont constamment à la recherche de nouvelles techniques. Par exemple, il y a quelques temps, ils ont dissimulé le composant principal d’IcedID dans une image au format PNG via une méthode que l’on appelle la stéganographie, ce qui le rend assez difficile à détecter.
Aujourd’hui, ces malwares sont disponibles sur les marchés parallèles et en plus de leurs créateurs, de nombreux clients distribuent également ces chevaux de Troie. Le rôle principal du malware est de voler les coordonnées ainsi que les identifiants des comptes bancaires et notamment ceux des entreprises (c’est pour cette raison que les e-mails ressemblent à des e-mails commerciaux). Afin de remplir leur rôle, les chevaux de Troie peuvent fonctionner de plusieurs façons. Ils peuvent par exemple :
- Écrire un script malveillant sur la page Web dans le but d’intercepter les données saisies par l’utilisateur ;
- Rediriger les utilisateurs des banques en ligne vers une fausse page de connexion ;
- Voler les données sauvegardées dans le navigateur.
Qbot peut également enregistrer les frappes au clavier afin d’intercepter les mots de passe.
Malheureusement, le vol des données de paiement n’est pas le seul problème auquel les victimes font face. Pour infecter le dispositif, IcedID peut par exemple télécharger d’autres malwares et même des ransomwares. Quant à Qbot, son rôle est de voler les fils de discussion courriel afin de les utiliser pour les prochaines campagnes de spam et d’accéder à distance aux ordinateurs des victimes. Les conséquences peuvent être très graves sur les ordinateurs de travail.
Comment se protéger des chevaux de Troie bancaires
Peu importe à quel point les cybercriminels peuvent être ingénieux, vous n’avez pas besoin de réinventer la roue pour vous protéger. Ces deux campagnes de spam ne peuvent être fructueuses que si le destinataire ne fait pas attention. S’il n’ouvre pas le fichier malveillant, la macro ne s’exécute pas et la manigance ne fonctionne pas. Afin de ne pas être victime :
- Vérifiez l’identité de l’expéditeur y compris le nom du domaine. Une personne qui prétend être une entreprise ou un client de l’entreprise mais qui utilise une adresse Gmail doit éveiller les soupçons. Si vous ne savez pas qui est l’expéditeur, faites appel à vos collègues ;
- Désactivez les macros par défaut et considérez les documents qui nécessitent l’activation des macros ou autre contenu comme une potentielle menace. N’exécutez jamais une macro sauf si vous êtes absolument certain que le fichier ne peut pas fonctionner autrement et qu’il ne représente aucun risque ;
- Installez une solution de sécurité fiable. Si vous travaillez sur un ordinateur personnel ou que votre employeur n’est pas vraiment intéressé par la protection des postes de travail, assurez-vous que votre dispositif est protégé. Nos produits sont capables de détecter à la fois IcedID et Qbot.