Selon les Laboratoires Antivirus Bitdefender, une campagne mondiale de spams malveillants cible les employés des PME avec pour objectifs de voler leurs noms d’utilisateurs, mots de passe, informations bancaires ou identifiants FTP.
La France serait l’un des pays les plus touchés par cette campagne de spam avec l’Espagne, la Corée, l’Allemagne, les États-Unis, le Royaume-Uni, l’Italie, la Russie, le Portugal et l’Arabie Saoudite. L’e-mail malveillant est adapté selon chaque pays où les botnets des cybercriminels diffusent les malwares.
L’e-mail envoyé à la victime a pour sujet le non-respect du règlement intérieur de l’entreprise, et pour objets « infraction », « suspension», « non-respect », etc. Le cybercriminel incite le salarié à télécharger les fichiers en pièces jointes de type chevaux de Troie, comme Zbot et Zeus, accompagnés d’un fichier RTF sain comprenant de vraies mesures disciplinaires afin de rendre l’arnaque plus crédible aux yeux de sa victime.
Depuis quelques semaines, la campagne de spam s’est accélérée via la diffusion en pièces jointes de dizaines de fichiers compressés .ARJ différents. « L’utilisation de fichiers compressés .ARJ pour diffuser des pièces jointes malveillantes est une pratique en vogue, et de nombreux extracteurs d’archives ZIP peuvent facilement les ouvrir », commente Adrian Miron, chercheur Antispam des Laboratoires Bitdefender. « Dans la mesure où ce type de compression est rarement utilisé, les spammeurs pensent certainement qu’il s’agit d’une ‘nouvelle’ méthode efficace afin d’éviter la détection de solutions de sécurité traditionnelles et de filtres e-mails. »
À l’insu de la victime, le malware tente de connecter l’ordinateur à plusieurs sites Web infectés par Zbot, enregistrés sous des noms de domaines allemands, brésiliens ou français (.de, .com,.br, .fr). Les victimes sont alors connectées à un serveur de Commande & Contrôle, à partir duquel les pirates prennent la main sur la machine et peuvent par exemple lancer le téléchargement d’un malware additionnel.
Ce type d’attaque malveillante se diffuse aussi avec les vagues de spams intitulées « facture impayée » et « fax », utilisant les mêmes techniques d’ingénierie sociale pour inciter les utilisateurs à ouvrir le fichier joint.
Voici un exemple d’e-mail de la campagne de spams en cours :
« Bonjour,
Nous sommes au regret de vous informer que votre contrat avec [nom_de_l’entreprise] va prendre fin. Cette rupture de contrat est due au non-respect du règlement intérieur concernant les points suivants :
1T7 72 14.09.2012
1T7 52 14.09.2012
1T7 56 14.09.2012
Vous avez été averti par écrit le 27.08.2014. Comme précisé dans l’avertissement final, vous deviez prendre des mesures correctives avant le 15.09.2014. Cela n’ayant pas été fait, il sera mis fin à votre contrat de travail. Pour faire appel de cette décision, vous devez rédiger une demande et en informer par écrit [nom_prénom] au plus tard à 19h le 21.09.2014.
Cordialement,
[nom_prénom]
+07535 XXXXXXX »
Des millions d’attaques de malwares ciblent les entreprises chaque mois dans le monde, et les pirates parviennent à se procurer des données confidentielles en profitant des vulnérabilités des réseaux d’entreprises. Avec la popularité grandissante du BYOD (Bring Your Own Device), ce type d’attaque risque d’autant plus d’être couronné de succès. En France, de nombreux employés se connectent depuis leurs appareils mobiles avec un accès complet au VPN de l’entreprise – l’exploitation d’une faille par des pirates pourrait compromettre une vaste quantité de données concernant l’entreprise.
Afin de se protéger plus efficacement contre les pièces jointes malveillantes, Bitdefender donne 4 conseils aux PME.
-
Ne pas faire confiance aux pièces jointes, même s’il ne s’agit pas de fichiers exécutables. Pour dissimuler le code malveillant, les pirates les font souvent passer pour des documents PDF, Word, des images JPG et d’autres types de fichiers à priori inoffensifs,
-
Eviter d’ouvrir des pièces jointes même si les e-mails semblent provenir d’organismes connus ou d’entreprises réputées (compagnies aériennes, banques, etc.). Il suffit d’un clic pour déclencher une infection de malwares même après l’ouverture d’un simple fichier HTML,
-
Ne pas céder à la curiosité. Il n’y a aucune raison de recevoir un avis de non-paiement de facture ou un billet d’avion gratuit par accident…
-
Maintenir une solution de sécurité et des programmes à jour, et faire attention aux données stockées sur les machines. Les chevaux de Troie installés via des pièces jointes, sont généralement capables de voler des mots de passe.