Menaces : zoom sur le phishing associé au coronavirus
Alors qu’une grande partie du monde est aux prises avec le nouveau coronavirus (covid-19) et cherche un moyen de le combattre, les pirates informatiques profitent des nombreux échanges relatifs à la maladie dans les e-mails et sur le Web.
Les chercheurs de Barracuda ont observé une augmentation constante du nombre d’attaques par spearphishing liées à la covid-19 depuis janvier, et notamment un pic récent depuis la fin février (667 %).
Entre le 1er et le 23 mars, Barracuda Sentinel a détecté 467 825 attaques par spearphishing dans des e-mails, dont 9 116 liées à la covid-19, ce qui représente environ 2 % des attaques. À titre de comparaison, le nombre total d’attaques par spearphishing liées au coronavirus s’élevait à 1 118 en février, et à seulement 137 en janvier. Bien que le nombre total de ces attaques soit encore faible par rapport à d’autres menaces, le danger prend rapidement de l’ampleur.
Menaces particulièrement importantes
Le phishing lié au coronavirus – Diverses campagnes de phishing profitent de l’attention particulière portée à la pandémie de covid-19 pour diffuser des malwares, dérober des identifiants et extorquer de l’argent aux internautes. Les attaques utilisent des techniques de phishing courantes, mais un nombre croissant se servent du coronavirus comme leurre pour essayer de tromper les internautes distraits, en exploitant les sentiments de peur et de doute de leurs victimes. Le FBI a récemment émis une alerte concernant ces types d’attaque.Les détails
Les chercheurs de Barracuda ont identifié trois principaux types d’attaque par hameçonnage sur le thème de la covid-19 : les escroqueries, l’usurpation de marque et la compromission de la messagerie d’entreprise. Parmi les attaques liées au coronavirus détectées par Barracuda Sentinel jusqu’au 23 mars, 54 % relevaient d’escroqueries, 34 % d’attaques par usurpation de marque, 11 % d’attaques par extorsion et 1 % d’attaques par compromission de la messagerie d’entreprise.
Les attaques par hameçonnage utilisant la covid-19 comme appât gagnent rapidement en sophistication. Ces derniers jours, les chercheurs de Barracuda ont vu apparaître un nombre important d’attaques par extorsion et quelques cas de détournement de conversation. À titre de comparaison, on observait principalement des escroqueries jusqu’à il y a quelques jours encore. Depuis le 17 mars, les attaques par hameçonnage liées au coronavirus détectées par Barracuda Sentinel se décomposent comme suit : 77 % d’escroqueries, 22 % d’usurpation de marque et 1 % de compromission de la messagerie d’entreprise. Une tendance qui devrait se poursuivre vers des attaques encore plus sophistiquées.Parmi les objectifs de ces attaques, on trouve la diffusion de logiciels malveillants, le vol d’identifiants et le profit financier. Nos systèmes ont même détecté un nouveau type de ransomware qui reprend la dénomination de la covid-19 et se fait appeler « CoronaVirus ».
Les pirates informatiques habiles savent exploiter les émotions pour susciter une réponse à leurs tentatives de phishing, comme par exemple les campagnes de sextorsion actuelles, qui reposent sur l’embarras et la peur pour extorquer de l’argent à leurs victimes. Entre la peur, le doute et même la sympathie qu’elle génère, la crise de la covid-19 constitue une véritable aubaine pour les pirates informatiques.
Par exemple, nous avons relevé une attaque par extorsion dans laquelle les malfaiteurs prétendaient avoir accès à des informations personnelles sur la victime, savoir où elle se trouvait et menaçaient de l’infecter avec le coronavirus, ainsi que sa famille, à moins de payer une rançon. Barracuda Sentinel a détecté cette attaque 1 008 fois en deux jours.
Escroqueries
Une grande partie des escroqueries détectées par Barracuda Sentinel visaient à vendre des traitements contre le coronavirus ou des masques, ou à solliciter des investissements dans de fausses entreprises qui prétendaient développer des vaccins.
Les escroqueries sous forme de demandes de dons à de fausses associations caritatives figurent également parmi les méthodes d’hameçonnage courantes qui tirent parti de la crise sanitaire.
Par exemple, les systèmes Barracuda ont découvert une escroquerie de ce type qui se réclame de la Communauté mondiale de la santé (qui n’existe pas, mais dont la dénomination joue sur sa ressemblance avec l’Organisation mondiale de la santé) et qui invite à faire des dons sur un portefeuille Bitcoin dont les références sont indiquées dans l’e-mail.
Malware
Une grande variété de malwares courants sont diffusés par le biais d’attaques par phishing liées au coronavirus, en particulier des variantes modulaires qui permettent aux pirates informatiques de déployer différents modules de charge grâce à un même malware. Le premier signalé comme utilisant le thème du coronavirus est Emotet, un cheval de Troie bancaire très répandu, qui est devenu modulaire l’an dernier. IBM X-Force a découvert qu’Emotet était diffusé par e-mail au Japon sous l’identité d’un faux fournisseur de services d’aide aux personnes handicapées. Ces e-mails de phishing contenaient un document qui téléchargeait et installait Emotet lorsque les macros étaient activées, une pratique courante pour diffuser des malwares de nos jours.
LokiBot est un autre malware modulaire, qui a généralement pour but de dérober les identifiants et les données de connexion. Il a été diffusé par au moins deux campagnes de phishing différentes liées au coronavirus que Comodo a pu observer. La première reposait sur l’envoi de factures contenant LokiBot, accompagnées d’un mot d’excuse pour le retard dû au coronavirus. La seconde se présentait comme un bulletin d’information intitulé « 1 chose à faire absolument », reprenant la formule des publicités frauduleuses « un vieux truc bizarre » courantes dans le spam, et contenant un lien vers le malware. Les systèmes Barracuda ont relevé de nombreux exemples d’e-mails reposant sur le principe de la facture, comme celui ci-dessous, qui a été détecté plus de 3 700 fois.
Parmi les autres voleurs d’informations notoires qui profitent de la pandémie de covid-19, citons AzorUlt, qui est diffusé par un site de phishing prétendant fournir une carte des foyers d’infection, et TrickBot, qui circule dans les e-mails de phishing en Italie.
Vol d’identifiants
En plus de la collecte généralisée d’identifiants à partir de malwares spécialisés dans le vol d’informations, les attaques par hameçonnage comportant des liens vers de fausses pages de connexion utilisent également la covid-19 comme leurre. L’une de ces variantes, que les systèmes Barracuda ont pu détecter, prétend provenir du Centre américain pour le contrôle des maladies (CDC) et tente de dérober les identifiants Microsoft Exchange après avoir cliqué sur le lien malveillant. Voici une illustration de l’e-mail et de la page de phishing.
L’usurpation de pages de connexion par e-mail est une pratique courante chez les pirates informatiques. Ils imitent les portails de messagerie auxquels sont habitués les utilisateurs pour ensuite leur dérober les informations contenues sur le serveur. D’autres pages de connexion sont plus génériques ou offrent de nombreuses possibilités au fournisseur, les malfaiteurs se faisant alors un malin plaisir de détourner chacune de ces pages. Les pirates informatiques se contentent donc simplement d’adapter les techniques de phishing par e-mail au coronavirus.
Comment vous protéger
Si les e-mails de phishing exploitant le coronavirus sont nouveaux, les mêmes précautions s’appliquent en ce qui concerne la sécurité de la messagerie.
- Méfiez-vous des e-mails qui incitent leurs destinataires à ouvrir des pièces jointes ou à cliquer sur des liens. Les solutions anti-malware et anti-phishing sont particulièrement efficaces pour empêcher les e-mails malveillants et les charges d’atteindre leurs cibles. Cela dit, même avec de telles protections en place, la prudence reste de mise car aucune solution n’est infaillible.
- Prenez garde à toute communication prétendant provenir de sources dont vous ne recevez pas d’e-mails habituellement. Il s’agit probablement de tentatives d’hameçonnage. Tandis que vous recevez régulièrement des e-mails en lien au coronavirus de la part de listes de distribution légitimes auxquelles vous êtes inscrit(e), il convient d’examiner de près les e-mails provenant d’entreprises qui vous contactent plus rarement. Par exemple, le CDC n’enverra jamais d’e-mails aux personnes avec qui l’établissement n’est pas régulièrement en contact.
- Faites preuve de prudence avec les e-mails provenant d’entreprises ou d’organismes avec lesquels vous communiquez régulièrement.L’usurpation de marque est relativement courante dans les attaques par e-mail liées au coronavirus. Soyez donc vigilant(e) lorsque vous ouvrez des e-mails provenant de structures dont vous attendez des nouvelles. Cela vaut tout particulièrement pour le secteur de la santé, qui est visé par des cyberattaques cherchant à exploiter la pression due à la gestion de l’explosion des cas de coronavirus.
- Trouvez des associations caritatives fiables et effectuez vos dons directement. Une tactique courante des escroqueries liées au coronavirus consiste à solliciter des dons pour venir en aide aux personnes touchées par la pandémie. Pour ne pas tomber dans le piège, évitez de donner suite à ce type d’e-mails. Trouvez plutôt des associations caritatives fiables qui participent à la lutte contre le coronavirus et effectuez vos dons directement par leur intermédiaire pour veiller à ce que les fonds finissent entre de bonnes mains plutôt qu’entre celles d’escrocs. Notez en outre qu’il est tout à fait improbable que des associations caritatives légitimes recueillent des dons au moyen de portefeuilles Bitcoin, un signe qui devrait instantanément vous mettre la puce à l’oreille.
Protégez vos employés à distance contre les menaces par e-mail en rapport au COVID-19
Ce Threat Spotlight a été réalisé par Fleming Shi avec le concours de Jonathan Tanner, chercheur expérimenté, et de l’équipe Barracuda Sentinel.
