Arnaque au téléphone : ce qui se cache derrière une prétendue livraison de colis
Dans le cadre de l'examen d'un ordinateur infecté, le prestataire de services de sécurité informatique Sophos a révélé une tactique d'attaque combinée et décrit une méchante astuce d'ingénierie sociale en Suisse, dans laquelle des leurres téléphoniques et électroniques ont été combinés pour former une chaîne d'attaque complexe contre une cible germanophone. Et apparemment, cette tactique fait déjà école ailleurs.
Une entreprise suisse a récemment été victime d'une cyber-attaque. Des spécialistes ont entre-temps analysé l'ordinateur infecté. Les informations analysées révèlent une nouvelle tactique d'attaque complexe qui combine des communications téléphoniques et électroniques crédibles afin de prendre le contrôle des réseaux d'entreprise et de détourner les données. Le malware lui-même a été livré de manière très inhabituelle : un appelant a convaincu la cible de l'attaque d'ouvrir un message électronique qui ne contenait pas de texte, mais était conçu comme un graphique pour ressembler à un message électronique Outlook. Cela a déclenché le téléchargement d'une application Electron malveillante liée.
"Je voudrais faire une livraison sur votre site".
L'appelant a expliqué à l'employé qu'il était chauffeur-livreur avec un colis urgent pour l'un des sites de l'entreprise, mais que personne n'était là pour réceptionner le colis. Il a demandé une nouvelle adresse de livraison sur le site de l'employé. Pour pouvoir livrer à nouveau le colis, le collaborateur devrait lui lire un code que la société d'expédition lui enverrait par e-mail. Alors que l'appelant parlait encore au téléphone avec l'employé, celui-ci a reçu le message électronique annoncé. Le message électronique indiquait qu'un fichier PDF joint au message contenait le code requis.
Ce courriel, rédigé dans un français parfait, a déclenché la chaîne d'attaques qui s'en est suivie. En fait, l'ensemble du message était un faux qui ressemblait simplement à un e-mail avec une pièce jointe au format PDF. Tant la "pièce jointe" que le message texte n'étaient en réalité que des images statiques intégrées dans le texte du message. Guidé par l'escroc au téléphone, l'employé cliquait sur l'image, ce qui entraînait le téléchargement du logiciel malveillant.
Vous le saviez : on parle allemand
Bien que le message électronique ait été rédigé en français, comme nous l'avons mentionné, des indices techniques indiquent que les attaquants savaient déjà que la cible suisse était peut-être germanophone. Les analystes de Sophos ont également pu comprendre que les pirates avaient peut-être ciblé personnellement le destinataire de l'appel et mis en place une chaîne d'attaques d'ingénierie sociale élaborée. Celle-ci a conduit les cybercriminels à prendre brièvement le contrôle de l'ordinateur de l'employé, avant que celui-ci ne débranche littéralement la prise (Ethernet) de l'ordinateur compromis. L'homme attentif a senti que quelque chose n'allait pas et a déconnecté l'ordinateur infecté du réseau. Mais malheureusement pas à temps, avant que la charge utile malveillante ne soit active.
"Cette attaque était extrêmement ciblée. Il n'y avait qu'une seule personne au bureau ce vendredi-là, et les attaquants connaissaient probablement l'identité de cette personne. L'utilisation d'une image déguisée en e-mail est également quelque chose que nous n'avons jamais vu auparavant. Cependant, c'est intelligent. Joindre un vrai PDF déclenche souvent une alarme sur les systèmes, car ils sont souvent utilisés pour diffuser des malwares, et les e-mails contenant des PDF finissent souvent dans les filtres de spam", a déclaré Andrew Brandt, chercheur principal chez Sophos.
Après avoir pénétré dans le réseau, les criminels ont utilisé des logiciels malveillants pour rechercher une grande variété d'informations, y compris des données de logiciels de comptabilité, des cookies, l'historique de navigation ainsi que des mots de passe et des portefeuilles de cryptomonnaies. Pour dissimuler leur fuite de données, les pirates ont connecté le système à Tor (le dark web). L'employé qui a finalement flairé le coup et débranché la prise a évité des conséquences plus graves pour son entreprise.
Habilement "scammé" et ça continue déjà
"Ce type d'attaque très sophistiquée montre jusqu'où les cybercriminels peuvent aller pour contourner les outils de défense et gagner la confiance des gens. Les attaques de phishing sont extrêmement efficaces, et nous avons vu les attaquants développer leurs tactiques d'ingénierie sociale avec les nouvelles technologies. Bien que les attaquants utilisent aujourd'hui davantage le courrier électronique, cela ne signifie pas que les appels téléphoniques sont dépassés. Nous formons beaucoup les collaborateurs à la sécurité des e-mails, mais nous ne leur apprenons pas forcément à gérer les appels téléphoniques inhabituels. Dans ce cas, l'employé a réagi rapidement et a eu la présence d'esprit d'agir", a déclaré Brandt.
Après l'attaque contre l'entreprise suisse, Sophos X-Ops a découvert une autre attaque avec le même mode opératoire contre une entreprise en Australie. Quel que soit le groupe à l'origine de ces attaques, il est probablement toujours actif et Sophos va surveiller la situation.
Source et informations complémentaires : Sophos
