Quand on parle de vol de données confidentielles, les e-mails qui contiennent des liens d’hameçonnage en sont généralement la première cause. Cependant, ces derniers ne sont qu’un moyen parmi tant d’autres qui permettent d’obtenir l’identifiant et le mot de passe de différents services en ligne. Les escrocs envoient encore des e-mails avec un lien redirigeant vers un spyware assez fréquemment. L’une de leurs techniques pour ne pas éveiller les soupçons consiste à le cacher dans une image déguisée en pièce jointe.
Les e-mails frauduleux
Aujourd’hui, nous allons parler d’une attaque ciblée. Les cybercriminels en question ont fait en sorte que leur e-mail paraisse crédible en envoyant une demande de devis accompagnée d’un guide détaillé à un prestataire de services industriels et à un vendeur de matériel.
Les sociétés industrielles reçoivent ce genre de requêtes très souvent. Les chargés de clientèle ouvrent le guide pour faire une proposition sans faire attention aux légères discordances qu’il peut y avoir, comme la différence entre le nom du domaine et la signature de l’expéditeur. Ce qui nous intéresse ici, c’est de savoir comment les cybercriminels font pour que les destinataires exécutent le malware. Voici à quoi ressemble l’e-mail :
Vous voyez le PDF joint ? Eh bien il ne s’agit absolument pas d’une pièce jointe. Outlook affiche les pièces jointes de la même façon, mais on peut voir qu’il y a quelques différences :
- L’icône de la pièce jointe doit correspondre à l’application de votre système qui ouvre vos fichiers au format PDF. Si ce n’est pas le cas, alors il ne s’agit pas d’une pièce jointe ou quoique cela puisse bien être, il ne s’agit pas d’un fichier PDF ;
- Les détails du fichier (nom, format et taille) s’affichent si vous passez le pointeur de la souris sur une vraie pièce jointe ;
- La flèche qui se trouve à côté du nom du fichier doit se détacher et fonctionner comme un bouton qui affiche un menu contextuel ;
- La pièce jointe doit apparaître dans une section différente et non dans le texte. À peu près comme ceci :
En réalité, cette pièce jointe qui dit être un fichier PDF n’est qu’une simple image. Si vous essayez de sélectionner une partie du message à l’aide de votre souris ou en appuyant sur Ctrl-A pour sélectionner tout le texte, vous vous en rendrez compte.
L’image masque le lien hypertexte qui redirige vers un programme malveillant. Si vous cliquez sur le lien, vous allez télécharger un spyware.
Charge utile
Ici, le lien malveillant redirigeait vers un dossier nommé Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab qui contenait un loader qui permet d’installer un cheval de Troie que Kaspersky identifie comme Trojan-Spy.Win32.Noon, un simple spyware. Découvert en 2017, il permet aux pirates informatiques de voler des mots de passe et d’autres informations des formulaires de saisie.
Comment rester en sécurité
Pour que les chevaux de Troie ne nuisent pas à votre entreprise, installez une solution de sécurité fiable sur tous les appareils connectés à Internet afin d’éviter l’exécution du malware.
De plus, formez vos employés pour qu’ils soient capables de déceler les pièges que les cybercriminels utilisent dans les e-mails.