Les pièces jointes restent un moyen efficace de diffuser des logiciels malveillants tant et aussi longtemps que les travailleurs manquent les indices vitaux. Deux exemples détaillés par des chercheurs de Fortinet démontrent les dernières techniques des cybercriminels qui peuvent être présentées au personnel dans le cadre d’une formation de sensibilisation à la sécurité.
Le premier est un document Word contenant une URL malveillante conçue pour inciter les victimes à télécharger un chargeur de maliciel. Les charges utiles de ce chargeur incluent OriginBotnet pour l’enregistrement de la frappe au clavier et la récupération de mot de passe, RedLine Clipper pour voler de la crypto-monnaie sur l’ordinateur d’une victime et AgentTesla pour collecter des informations sensibles.
L’exemple trouvé par Fortinet est un document financier, mais un attaquant pourrait utiliser n’importe quelle tactique : un CV, une demande de proposition, etc. Un clic sur le document Word entraîne l’affichage d’une image volontairement floue pour convaincre le destinataire qu’il existe un document qui peut être affiché en cliquant une invite reCAPTCHA contrefaite mais d’apparence standard qui dit « Je ne suis pas un robot ». En réalité, cela démarre le processus de chargement du maliciel.
RedLine Clipper, également connu sous le nom de ClipBanker, vole des crypto-monnaies en manipulant les activités du presse-papiers du système de l’utilisateur pour remplacer l’adresse du portefeuille de destination par celle appartenant à l’attaquant. En raison de la complexité des adresses de portefeuille numérique, les utilisateurs les copient et les collent souvent lors des transactions.
AgentTesla peut enregistrer les frappes au clavier, accéder au presse-papiers de l’hôte et effectuer des analyses de disque pour découvrir les informations d’identification et d’autres données précieuses. Il transmet les informations collectées à un serveur de commande et de contrôle (C2) via plusieurs canaux de communication, notamment HTTP(S), SMTP, FTP, ou même en les envoyant vers un canal Telegram désigné.
OriginBotnet dispose d’une gamme de fonctionnalités, notamment la collecte de données sensibles, l’établissement de communications avec son serveur C2 et le téléchargement de fichiers supplémentaires à partir du serveur pour exécuter des fonctions d’enregistrement de frappe au clavier ou de récupération de mot de passe sur des ordinateurs compromis.
Le deuxième exemple est un fichier que les chercheurs ont obtenu et qu’ils supposent être une pièce jointe car il prétend être une liste des dirigeants de l’entreprise. Le message électronique aurait pu prétendre être des instructions de l’entreprise destinées aux employés. Le format de cette pièce jointe est un fichier .RAR compressé. En cliquant dessus, vous découvrez deux éléments : Un PDF nommé « Avis aux groupes de travail à domicile ». Si une victime clique dessus, une image d’un message d’erreur apparaît indiquant faussement que le document PDF n’a pas pu être chargé.
Il s’agit en fait d’un leurre, selon Fortinet, censé inciter la victime à cliquer sur le deuxième fichier, « 062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe ». Pour le personnel ayant reçu une bonne formation de sensibilisation, l’extension .exe de ce fichier doit être un avertissement indiquant qu’il ne faut pas cliquer dessus. Cela suppose que le nom complet du fichier s’affiche. Cependant, note le rapport, par défaut, Windows n’affiche pas les noms de fichiers complets. Le cybercriminel profite de cela dans l’espoir de dissimuler le nom du fichier afin que la victime pense qu’il s’agit d’un PDF et non d’un fichier exécutable.
Le but de ce fichier est d’agir comme un installateur pour plusieurs logiciels malveillants.
Les experts en cybersécurité affirment que la sensibilisation des employés est essentielle à une vaste stratégie de défense. Inclure des exemples est une façon de les aider à apprendre.
Adaptation et traduction française par Renaud Larue-Langlois.