Les employés de PME françaises visés par une campagne de spam/malware en .ARJ

3
147

Les laboratoire Antivirus Bitdefender lancent l’alerte : une nouvelle campagne de malwares est utilisée contre des employés de PME, les poussant à télécharger malgré eux des fichiers tels que Zbot et d’autres chevaux de Troie sous prétexte d’avoir « outrepassé le règlement intérieur de l’entreprise ».

La campagne de spam s’est accélérée il y a quelques semaines en diffusant en pièce jointe des dizaines de fichiers compressés .ARJ différents. L’attaque est basée sur Zbot ou Zeus, ce qui permet de voler des noms d’utilisateurs, des mots de passe, des informations bancaires ou des identifiants FTP.

« L’utilisation de fichiers compressés .ARJ pour diffuser des pièces jointes malveillantes est une pratique en vogue, et de nombreux extracteurs d’archives ZIP peuvent facilement les ouvrir », commente Adrian Miron, chercheur Antispam des Laboratoires Bitdefender. « Comme ce type de compression est rarement utilisée, les spammeurs doivent penser que c’est une bonne ‘nouvelle’ méthode pour éviter d’être détecté par les solutions de sécurité traditionnelles et les filtres e-mails. »

Selon Bitdefender, la France est l’un des pays les plus touchés par cette attaque de spam avec l’Espagne, la Corée, l’Allemagne, les Etats-Unis, le Royaume-Uni, l’Italie, la Russie, le Portugal et l’Arabie Saoudite. L’e-mail malveillant est adapté selon chaque pays où les botnets des cybercriminels diffusent les malwares.

Voici un exemple type de ce genre d’e-mail :

« Bonjour,

Nous sommes au regret de vous informer que votre contrat avec [nom_de_l’entreprise] va prendre fin. Cette rupture de contrat  est due au non respect du règlement intérieur concernant les points suivants :

1T7 72 14.09.2012
– 1T7 52 14.09.2012

1T7 56 14.09.2012

Vous avez été averti par écrit le 27.08.2014. Comme il était précisé dans l’avertissement final, vous deviez prendre des mesures correctives avant le 15.09.2014. Cela n’ayant pas été fait, il sera mis fin à votre contrat de travail. Pour faire appel de cette décision, vous devez rédiger une demande et en informer par écrit [nom_prénom] au plus tard à 19h le 21.09.2014.

Cordialement,

[nom_prénom]

+07535 XXXXXXX »

L’objet de l’e-mail peut varier : procédure d’infraction, interruption, non respect, violation, dérangement, etc.

Pour se rendre encore plus crédible, le malware dispose en pièce jointe d’un fichier .RTF sain qui inclut des mesures de discipline que les entreprises prennent dans un cas réel d’infraction au règlement.

arj-malware

A l’insu de la victime, le malware tente de connecter l’ordinateur à plusieurs sites Web infectés par Zbot, enregistrés sur des noms de domaines allemands, brésiliens ou français (.de, .com.br, .fr). Les victimes sont alors connectées à un serveur de Commande & Contrôle, à partir duquel les pirates prennent la main sur ma machine et peuvent par exemple lancer le téléchargement d’un malware additionnel.

Ce type d’attaques malveillantes se diffuse aussi avec les vagues de spam intitulées « facture impayée » et « fax », en se servant des mêmes techniques d’ingénierie sociale pour inciter les utilisateurs à ouvrir le fichier joint. Des millions d’attaques de malwares ciblent les entreprises chaque mois dans le monde, et les pirates parviennent à se procurer des données confidentielles en profitant des vulnérabilités des réseaux d’entreprise. Avec la popularité grandissante du BYOD (bring your own device), ce type d’attaque risque d’autant plus d’être couronné de succès. En France, de nombreux employés se connectent depuis leurs appareils mobiles avec un accès complet au VPN de l’entreprise – l’exploitation d’une faille par des pirates pourrait compromettre une vaste quantité de données concernant l’entreprise.

Conseils pour se protéger

Une étude récente de Bitdefender démontrait qu’une PME sur cinq utilisait toujours Windows XP, ce qui l’expose à des risques supplémentaires, étant donné que Microsoft a abandonné le support de son OS en début d’année 2014.

Voici cinq conseils destinés aux PME françaises pour leur permettre de se protéger plus efficacement, en particulier contre les pièces jointes malveillantes :

  • Ne faites pas confiance aux pièces jointes, même s’il ne s’agit pas des fichiers exécutables. Pour dissimuler le code malveillant, les pirates les font souvent passer pour des documents PDF, Word, des images JPG et d’autres types de fichiers à priori inoffensifs.
  • Evitez d’ouvrir des pièces jointes même si les e-mails semblent provenir d’organismes connus ou d’entreprises réputées (compagnies aériennes, banques, etc.). Il suffit d’un clic pour déclencher une infection de malwares même après l’ouverture  d’un simple fichier HTML.
  • Ne laissez pas votre curiosité prendre le dessus. Il n’y a aucune raison pour que vous receviez un avis de non paiement de facture ou un billet d’avion gratuit par accident, et vous n’avez certainement pas gagné à la loterie Microsoft.
  • Maintenez votre solution de sécurité et vos programmes à jour, et faites attention aux données que vous stockez. Les chevaux de Troie installés via des pièces jointes sont généralement capables de voler des mots de passe.
  • Dans la majeure partie des cas, les pirates utilisent des procédés redondants pour diffuser leurs pièges. Faites systématiquement une recherche sur Google en cas de doute, pour juger de la crédibilité d’un e-mail.

 

Article rédigé par Bitdefender France.

Les commentaires sont fermés.