Alors que les pays du monde entier font face à l’épidémie de coronavirus en cours, les cybercriminels exploitent les craintes des gens à l’égard du virus pour lancer un large éventail d’attaques et d’escroqueries en ligne.
Les chercheurs en sécurité de Proofpoint ont observé le phishing d’informations d’identification, les pièces jointes malveillantes, les liens malveillants, la compromission des e-mails professionnels (BEC), les fausses pages de destination, les téléchargeurs, le spam et les logiciels malveillants qui utilisent tous le coronavirus pour attirer des victimes potentielles.
La société a découvert une campagne de TA505, le groupe derrière le ransomware Locky et le cheval de Troie bancaire Dridex, qui utilise un leurre de coronavirus dans le cadre d’une campagne de téléchargement qui cible actuellement les entreprises de soins de santé, de fabrication et de produits pharmaceutiques aux États-Unis.
Proofpoint a également trouvé une campagne distincte sur le thème des coronavirus qui utilise un téléchargeur pour cibler le secteur de la santé et exige un paiement en Bitcoin. Les téléchargeurs utilisés dans ces deux campagnes sont souvent une première charge utile avant Le ransomware est ensuite téléchargé et installé sur la machine d’une victime.
De plus, les chercheurs ont observé que le groupe TA564 utilise des courriels de coronavirus pour cibler les utilisateurs canadiens en se faisant passer pour l’Agence de la santé publique du Canada dans le but de livrer le cheval de Troie bancaire Ursnif.
Sommaire
RedLine Stealer
Début mars, les chercheurs de Proofpoint ont observé une autre campagne d’e-mails qui tente de diffuser un malware auparavant inconnu appelé RedLine Stealer.
Les courriels de la campagne se font passer pour la marque Folding @ home, qui est un projet informatique distribué pour la recherche sur les maladies, en demandant aux destinataires d’aider à trouver un remède contre le coronavirus. Tout comme le projet informatique de distribution proprement dit demande aux utilisateurs de télécharger une application afin d’utiliser leur puissance de calcul pour la recherche sur les maladies, la campagne Folding @ Thome (remarquez le «T» supplémentaire) demande également à ses victimes de télécharger un programme sur leurs ordinateurs.
Après avoir cliqué sur un lien dans les e-mails malveillants de la campagne, les utilisateurs sont redirigés vers un exécutable malveillant du RedLine Stealer hébergé sur BitBucket. Le voleur RedLine a la capacité de voler des informations à partir de navigateurs tels que les connexions, les cookies, les champs de saisie semi-automatique, les mots de passe et les cartes de crédit. Il recueille également des informations sur chaque utilisateur et leur système, y compris leur nom d’utilisateur, leur emplacement, la configuration matérielle et s’ils ont installé un logiciel de sécurité.
Pour éviter d’être victime des nombreuses escroqueries et attaques par e-mail liées au coronavirus, il est recommandé à tous les utilisateurs de rester vigilants en ligne et d’éviter d’ouvrir des e-mails provenant d’expéditeurs inconnus.
Pingback : Veille Cyber N276 – 30 mars 2020 |