Menaces : zoom sur le phishing associé au coronavirus

Alors qu'une grande partie du monde est aux prises avec le nouveau coronavirus (covid-19) et cherche un moyen de le combattre, les pirates informatiques profitent des nombreux échanges relatifs à la maladie dans les e-mails et sur le Web.

Les chercheurs de Barracuda ont observé une augmentation constante du nombre d'attaques par harponnage liées au covid-19 depuis janvier, et notamment un pic récent depuis la fin février (667 %).

Entre le 1er et le 23 mars, Barracuda Sentinel a détecté 467 825 attaques d'harponnage par e-mail, dont 9 116 liées au covid-19, ce qui représente environ 2 % des attaques. À titre de comparaison, le nombre total d'attaques par harponnage liées au coronavirus s'élevait à 1 188 en février, et à seulement 137 en janvier. Bien que le nombre total de ces attaques soit encore faible par rapport à d'autres menaces, le danger prend rapidement de l'ampleur.

Menaces particulièrement importantes

Le phishing lié au coronavirus – Diverses campagnes d'hameçonnage profitent de l'attention particulière portée au covid-19 pour diffuser des logiciels malveillants, dérober des identifiants et extorquer de l'argent aux internautes. Les attaques utilisent des techniques de phishing courantes, mais un nombre croissant se servent du coronavirus comme leurre pour essayer de tromper les internautes distraits, en exploitant les sentiments de peur et de doute de leurs victimes. Le FBI a récemment émis une alerte concernant ces types d'attaque.

Les détails

Les chercheurs de Barracuda ont identifié trois principaux types d'attaque par phishing sur le thème du covid-19 : les escroqueries, l'usurpation de marque et la compromission de la messagerie d'entreprise. Parmi les attaques liées au coronavirus détectées par Barracuda Sentinel jusqu'au 23 mars, 54 % relevaient d'escroqueries, 34 % d'attaques par usurpation d'identité, 11 % d'attaques par extorsion et 1 % d'attaques par compromission de la messagerie d'entreprise.

Les attaques par phishing utilisant le covid-19 comme appât gagnent rapidement en sophistication. Ces derniers jours, les chercheurs de Barracuda ont vu apparaître un nombre important d'attaques par extorsion et quelques cas de détournement de conversation. À titre de comparaison, on observait principalement des escroqueries jusqu'à il y a quelques jours encore. Depuis le 17 mars, les attaques par phishing liées au coronavirus détectées par Barracuda Sentinel se décomposent comme suit : 77 % d'escroqueries, 22 % d'usurpation de marque et 1 % de compromission de la messagerie d'entreprise. Une tendance qui devrait se poursuivre vers des attaques encore plus sophistiquées.

Parmi les objectifs de ces attaques, on trouve la diffusion de logiciels malveillants, le vol d'identifiants et le profit financier. Nos systèmes ont même détecté un nouveau type de ransomware qui reprend la dénomination du covid-19 et se fait appeler « CoronaVirus ».

Les pirates informatiques habiles savent exploiter les émotions pour susciter une réponse à leurs tentatives d'hameçonnage, comme par exemple les campagnes de sextorsion actuelles, qui reposent sur l'embarras et la peur pour extorquer de l'argent à leurs victimes. Entre la peur, le doute et même la sympathie qu'elle génère, la crise du covid-19 constitue une véritable aubaine pour les pirates informatiques.

Par exemple, nous avons relevé une attaque par extorsion dans laquelle les malfaiteurs prétendaient avoir accès à des informations personnelles sur la victime, savoir où elle se trouvait et menaçaient de l'infecter, ainsi que sa famille, avec le coronavirus à moins de payer une rançon. Barracuda Sentinel a détecté cette attaque 1 008 fois en deux jours.

Les cybercriminels peuvent-ils tomber plus bas ? En deux jours, Barracuda a détecté à 1 008 reprises une attaque par extorsion qui menaçait d'infecter la victime et sa famille avec le #coronavirus à moins de payer une rançon #cybercrimeCliquez pour tweeter

Escroqueries

Une grande partie des escroqueries détectées par Barracuda Sentinel visaient à vendre des traitements contre le coronavirus ou des masques, ou à solliciter des investissements dans de fausses entreprises qui prétendaient développer des vaccins.

Les escroqueries sous forme de demandes de dons à de fausses associations caritatives figurent également parmi les méthodes d'hameçonnage courantes qui tirent parti de la crise sanitaire.

Par exemple, les systèmes Barracuda ont découvert une escroquerie de ce type qui se réclame de la Communauté mondiale de la santé (fausse mais dont la dénomination joue sur sa ressemblance avec l'Organisation mondiale de la santé) et qui invite à faire des dons vers un portefeuille Bitcoin indiqué dans l'e-mail.

Malware

Un éventail de logiciels malveillants courants sont diffusés par le biais d'attaques par phishing liées au coronavirus, en particulier des variantes modulaires qui permettent aux pirates informatiques de déployer différents modules de charge grâce à un même malware. Le premier signalé comme utilisant le thème du coronavirus est Emotet, un trojan bancaire très répandu, qui est devenu modulaire l'an dernier. IBM X-Force a découvert qu'Emotet était diffusé par e-mail au Japon sous l'identité d'un faux fournisseur de services d'aide aux personnes handicapées. Ces e-mails d'hameçonnage contenaient un document qui téléchargeait et installait Emotet lorsque les macros étaient activées, une pratique courante pour diffuser des logiciels malveillants de nos jours.

LokiBot est un autre logiciel malveillant modulaire, qui a généralement pour but de dérober les identifiants et les données de connexion. Il a été diffusé par au moins deux campagnes de phishing différentes liées au coronavirus que Comodo a pu observer. La première reposait sur l'envoi de factures contenant LokiBot, accompagnées d'un mot d'excuse pour le retard dû au coronavirus. La seconde se présentait comme un bulletin d'information intitulé « 1 chose à absolument faire », reprenant la formule des publicités frauduleuses « un vieux truc bizarre » courantes dans le spam, et contenant un lien vers le logiciel malveillant. Les systèmes Barracuda ont relevé de nombreux exemples d'e-mails reposant sur le concept de la facture, comme celui ci-dessous, qui a été détecté plus de 3 700 fois.

Parmi les autres voleurs d'informations notoires qui profitent du covid-19, citons AzorUlt, qui est diffusé par un site de phishing prétendant fournir une carte des foyers d'infection, et TrickBot, qui circule dans les e-mails de phishing en Italie.

Vol d'identifiants

En plus de la collecte généralisée d'identifiants à partir de logiciels malveillants spécialisés dans le vol d'informations, les attaques par hameçonnage comportant des liens vers de fausses pages de connexion utilisent également le covid-19 comme leurre. L'une de ces variantes, que les systèmes Barracuda ont pu détecter, prétend provenir du Centre américain pour le contrôle des maladies (CDC) et tente de dérober les identifiants Microsoft Exchange après avoir cliqué sur le lien malveillant. Voici une illustration de l'e-mail et de la page de phishing.

L'usurpation de pages de connexion par e-mail est une pratique courante chez les pirates informatiques. Ils imitent les portails de messagerie auxquels sont habitués les utilisateurs pour ensuite leur dérober les informations contenues sur le serveur. D'autres pages de connexion sont plus génériques ou offrent de nombreuses possibilités au fournisseur, les malfaiteurs se faisant alors un malin plaisir de détourner chacune de ces pages. Les pirates informatiques se contentent donc simplement d'adapter les techniques de phishing par e-mail au coronavirus.

Consultez ces quatre conseils pour vous protéger contre la nouvelle vague d'attaques par e-mail se servant du #coronavirus #covid-19 pour tromper les victimesCliquez pour tweeter

Comment vous protéger

Si les e-mails d'hameçonnage reposant sur le coronavirus sont nouveaux, les mêmes précautions s'appliquent en ce qui concerne la sécurité de la messagerie.

• Méfiez-vous des e-mails qui incitent leurs destinataires à ouvrir des pièces jointes ou à cliquer sur des liens. Les solutions anti-malware et anti-phishing sont particulièrement efficaces pour empêcher les e-mails malveillants et les charges d'atteindre leurs cibles. Cela dit, même avec de telles protections en place, la prudence reste de mise car aucune solution n'est infaillible.
• Prenez garde à toute communication prétendant provenir de sources dont vous ne recevez pas d'e-mails habituellement. Il s'agit probablement de tentatives d'hameçonnage. Tandis que vous recevez régulièrement des e-mails en lien au coronavirus de la part de listes de distribution légitimes auxquelles vous êtes inscrit(e), il convient d'examiner de près les e-mails provenant d'entreprises qui vous contactent plus rarement. Par exemple, le CDC n'enverra jamais d'e-mails aux personnes avec qui l'établissement n'est pas régulièrement en contact.
• Faites preuve de prudence avec les e-mails provenant d'entreprises ou d'organismes avec lesquels vous communiquez régulièrement.L'usurpation de marque est relativement courante dans les attaques par e-mail liées au coronavirus. Soyez donc vigilant(e) lorsque vous ouvrez des e-mails provenant de structures dont vous attendez des nouvelles. Cela vaut tout particulièrement pour le secteur de la santé, qui est visé par des cyberattaques cherchant à exploiter la pression due à la gestion de l'explosion des cas de coronavirus.
• Trouvez des associations caritatives fiables et effectuez vos dons directement. Une tactique courante des escroqueries liées au coronavirus consiste à solliciter des dons pour venir en aide aux personnes touchées par la pandémie. Pour ne pas tomber dans le piège, évitez de donner suite à ce type d'e-mails. Trouvez plutôt des associations caritatives fiables qui participent à la lutte contre le coronavirus et effectuez vos dons directement par leur intermédiaire pour veiller à ce que les fonds finissent entre de bonnes mains plutôt qu'entre celles d'escrocs. Notez en outre qu'il est tout à fait improbable que des associations caritatives légitimes recueillent des dons au moyen de portefeuilles Bitcoin, un signe qui devrait instantanément vous mettre la puce à l'oreille.

Protégez vos employés à distance contre les menaces par e-mail en rapport au COVID-19

Ce Focus sur les menaces a été réalisé par Fleming Shi avec le concours de Jonathan Tanner, chercheur expérimenté, et de l'équipe Barracuda Sentinel.