Locky – Un ransomware diffusé via phishing de fausses factures Free

3
110

Le CERT-FR alerte sur la diffusion d’un ransomware qui vise les internautes français via une vague de spam dont les mails se font passer pour de fausses factures de l’opérateur Free Mobile. L’infection se fait par le biais d’un fichier Excel piégé qui installe le ransomware Locky.

L’alerte de sécurité a été diffusée par le CERT-FR qui souhaite attirer l’attention des internautes français sur le risque encouru par cette campagne de phishing doublement malveillante. En effet, les mails se faisant passer pour des sociétés légitimes (Free Mobile en l’occurrence dans le cas présent) sont déjà monnaie courante et piègent de nombreux internautes qui saisissent leurs coordonnées bancaires sur des espaces contrefaits par les cybercriminels. Mais dans le cas présent, les pirates n’y sont pas aller de main morte étant donné que le mail de phishing contient en plus de cela une pièce jointe malveillante !

La pièce jointe s’avère être un fichier Excel malveillant de type macro, qui va, s’il est activé, télécharger et installer le ransomware Locky. Depuis début mars, le CERT-FR signale que les mails de cette campagne malveillante sont liés avec une fausse facture de l’opérateur Free Mobile. Cette fois, il s’agit d’une pièce jointe en .zip contenant un code malveillant JavaScript visant à infecter la machine de la victime.

Cette campagne de spam malveillant est particulièrement dangereuse si l’on ajoute le fait que le taux de diffusion est important, la détection en spam est très limitée. Elle a été détectée à partir de la mi-février et comporte le mot “invoice” dans le titre du mail frauduleux (avec quelques variantes possibles).

Ransomware Locky

Le malware est baptisé ainsi du fait de l’extension en .locky qu’il appose aux fichiers chiffrés par ses soins après une attaque sur une machine. Il fonctionne comme la plupart des ransomware classique,en chiffrant tout ce qu’il peut détecter et en exigeant une rançon contre la clé de déchiffrement. Bref, mieux vaut avoir de bonnes sauvegardes à jour ! Surtout que ce type de menaces se propage vite à travers les connexions réseau locales…

Le CERT-FR détaille plusieurs mesures de protection et donne plusieurs marqueurs de compromissions à destination des administrateurs qui souhaiteraient se prémunir. Mais comme le remarque l’éditeur de solutions de sécurité russe Kaspersky, plus de 60 variantes de Locky ont d’ores et déjà été détectées par ses outils, ce qui pousse les éditeurs de logiciels antivirus à développer chaque fois de nouvelles signatures pour protéger les utilisateurs. Locky a déjà fait parler de lui dans la récente attaque qui a paralysé un hôpital américain contraint ses dirigeants à verser une somme importante.

3 Commentaires

  1. Bonjour,
    J’ai reçu ce jour une lettre d’un Hacker au nom de la free mobile avec un lien de connection.

    free_mobile
    Lun 07/01/2019, 04:34
    Cher Client,

    Nous vous informons par écrit que le dernier règlement de votre facture du 05/01/2019 semble avoir échoué.
    Cela est sans doute dû à une simple erreur, tel qu’une carte de crédit expirée ou des données de paiement invalides,
    ce qui a entraîné le refus de votre carte de crédit ou le rejet du virement de la part de la société émettrice de votre carte de crédit.

    Veuillez vérifier et, le cas échéant, actualiser les données de votre carte de crédit ou changer de mode de paiement dans les plus brefs délais afin que
    vos services restent accessibles sans interruption. Pour ce faire, veuillez suivre les instructions ci-dessous :
    Connectez-vous à votre Espace Client https://mobile.free.fr/moncompt/ en utilisant votre numéro client et le mot de passe correspondant.
    En l’absence de régularisation rapide, nous allons réslier votre ligne téléphonique.

    Vous pouvez contacter votre Service Abonné :
    Par téléphone au 32 44 (appel inclus dans le forfait depuis une ligne mobile Free)
    Par courrier adressé à Free Forfait Mobile- 75371 Paris Cedex 08 France Sincères salutations,
    L’équipe Free – – Free Mobile – SAS au capital de 368.135.333 Euros -RCS Paris 45823 332 33- Siége social

  2. Je viens de recevoir un mail ..sois disant au non de Free .. disant que ma derniére facture venait d’être refusée ´ et qu’il souhaitait que je donne mes coordonnées bancaire ….Comme je savais que c’était impossible car mon compte est approvisionné et mon décompte bancaire l’a confirmé
    J’ai appelé Free pour leur signalé ce qui m’a semblé une fraude .

Les commentaires sont fermés.