La transition vers l’apprentissage à distance a été déjà assez difficile pour les enseignants du monde entier, mais les chercheurs de Proofpoint ont maintenant observé une nouvelle campagne ciblée qui tente d’infecter leurs ordinateurs avec des ransomwares.
La campagne utilise des messages dans lesquels l’attaquant se fait passer pour un parent ou un tuteur soumettant un devoir en ligne au nom d’un élève affirmant que l’élève a rencontré des problèmes techniques en essayant de soumettre lui-même le devoir. Cependant, au lieu de joindre une affectation à ses e-mails, l’attaquant a joint un document malveillant qui télécharge une charge utile de ransomware personnalisée.
Début octobre, des chercheurs de Proofpoint ont découvert une nouvelle campagne d’e-mail ciblée qui utilise des sujets tels que «Téléchargement de l’affectation du fils», «Échec du téléchargement de l’affectation pour [Name] » ou « [Name]Échec du téléchargement de l’affectation ». Les e-mails eux-mêmes contiennent un document malveillant stocké dans un fichier zip et la campagne tente d’attirer les victimes avec un plaidoyer d’un parent demandant à un enseignant d’accepter une soumission de devoir par e-mail.
Selon Proofpoint, les cibles de la campagne étaient des enseignants individuels et l’attaquant responsable a probablement retiré leurs adresses e-mail des pages publiques d’un site Web scolaire.
Sommaire
Cibler les enseignants
Le document malveillant contenu dans les e-mails de la campagne semble avoir été créé de manière personnalisée par l’attaquant. Il utilise des relations externes (injection de modèle à distance) pour télécharger un autre document malveillant qui peut ensuite télécharger les exécutables du malware si un utilisateur a activé les macros.
Les exécutables du malware sont hébergés sur le service d’hébergement de code gratuit notabug[.]org et la macro utilise également un service de bogues Web gratuit appelé Canarytokens qui notifie à l’attaquant si l’exécutable téléchargé a été démarré avec succès ou non.
Bien que Proofpoint n’ait pas effectué une analyse approfondie du malware, il semble qu’il s’agisse d’un ransomware personnalisé et relativement simpliste écrit dans le langage de programmation Go qui porte le nom de «cryptme». Les chercheurs de la société ont fourni des informations supplémentaires sur cette nouvelle campagne de ransomware dans un article de blog, en disant:
«Les élèves et les systèmes scolaires ont été confrontés à des problèmes uniques en 2020, et ces messages tirent parti des difficultés technologiques généralisées accompagnant l’apprentissage en ligne. Les messages sont bien conçus avec une compréhension claire de ce qui plairait aux destinataires, bien qu’au moment d’écrire ces lignes, les chercheurs de Proofpoint n’aient observé aucun paiement posté à l’adresse Bitcoin de la note de rançon. Bien que cette campagne ait été très limitée, il est possible que cet acteur et d’autres continuent à utiliser les thèmes des problèmes technologiques et de l’apprentissage en ligne pour donner légitimité et urgence à leurs leurres.
Pour éviter d’être victime de cette nouvelle campagne de ransomwares, les enseignants doivent être très vigilants lorsqu’ils vérifient leurs e-mails et éviter d’ouvrir des messages d’expéditeurs inconnus.
