Spam : Un malware déguisé en outil de correction du bug HeartBleed

1
135

Au début du mois d’avril, la vulnérabilité présente dans la bibliothèque de cryptographie OpenSSL, aussi connu comme le bug Heartbleed, a suscité bien des craintes dans le monde entier. Aujourd’hui, des cyber-escrocs l’exploite en diffusant des mails spam propageant un malware déguisé en un faux outil de correction.

Heartbleed a sans aucun doute été un grand traumatisme pour la sécurité Internet. Les pirates ont l’imagination débordante et sont prêt a exploiter n’importe quel évènement afin de propager des malwares. Le bug HeartBleed ne fait pas exception à la règle !

Comme avec n’importe quelle nouvelle importante, ce n’est qu’une question de temps avant les cybercriminels ne profitent de l’intérêt du public pour celle-ci. Symantec a récemment découvert une campagne de spam surfant sur le bug Heartbleed comme un moyen d’effrayer les utilisateurs et les pousser à installer des logiciels malveillants sur leurs ordinateurs. Le courriel avertit les utilisateurs que bien qu’ils aient fait ce qu’ils peuvent en changeant leurs mots de passe sur les sites Web qu’ils utilisent, leur ordinateur peut encore être « infecté » avec le bogue Heartbleed. Le pourriel demande alors à l’utilisateur exécuter l’outil de suppression de bug Heartbleed qui est attaché à l’e-mail afin de « nettoyer » leur ordinateur de l’infection. Bien entendu, cela fait le contraire…

Heartbleed bug fake removal tool spam email
Heartbleed bug fake removal tool spam email


Ce type d’ingénierie sociale s’adresse aux utilisateurs qui n’ont pas suffisamment de connaissances techniques pour savoir que le bug Heartbleed n’est pas dû à un logiciel malveillant quelconque et qu’il n’y a aucune possibilité pour lui d’infecter les ordinateurs lambda. Le mail joue sur la peur afin de pousser les destinataires à ouvrir le fichier joint infecté.
Bien entendu, comme dans la plupart des spams typés arnaque, il y a un détail qui doit donner la puce à l’oreille. Ici, c’est le titre du mail que l’escroc a oublié de changer de sa dernière arnaque : “recherche d’opportunités d’investissement en Syrie“, qui n’a bien entendu aucun rapport avec le corps du mail.

Le mail tente de gagner en crédibilité en prétendant provenir d’une entreprise de gestion de mot de passe bien connue. Il contient aussi des détails sur la façon d’exécuter l’outil de suppression et ce qu’il faut faire si un logiciel antivirus le bloque (ironie quand tu nous tiens !). Le fichier joint est un fichier DOCX qui peut sembler plus sûr qu’un fichier exécutable pour les utilisateurs. Cependant, une fois le fichier .docx ouvert, c’est en fait un fichier zip chiffré qui est présenté à l’utilisateur. Une fois que la victime a extrait le fichier zip, elle se retrouvera avec une fichier heartbleedbugremovaltool.exe, qui s’avère être le malware.

Heartbleed Bug 2

Une fois heartbleedbugremovaltool.exe exécuté, il télécharge un keylogger en arrière-plan et un message apparaît sur ​​l’écran avec une barre de progression pour faire diversion. Une fois la barre de progression terminée, un message indique que le bug Heartbleed n’a pas été trouvé et que l’ordinateur est propre. Malheureusement, même s’il l’était avant, cela n’est désormais plus le cas !

Heartbleed Bug 3

Le keylogger enregistre maintenant toutes les frappes et prend des captures d’écran sensibles avant d’envoyer le tout par mail chez un fournisseur de messagerie en ligne gratuite. Vos données confidentielles et votre vie privée sont alors mise à rude épreuve… Et si vous utilisez PayPal ou gérez vos comptes bancaires en ligne, il est fortement probable que vous aurez de bien mauvaises surprises !

En règle générale, n’accordez jamais votre confiance à de tels mails et supprimez-les directement.

Symantec détecte ce malware comme Trojan.Dropper et détecte le fichier malveillant téléchargé comme Infostealer.

Les commentaires sont fermés.