Google a reconnu une vulnérabilité dans l’application Google Agenda, laquelle a été exploitée par les cybercriminels pour injecter des articles faux et malveillants.
Plusieurs campagnes de phishing sur Google Agenda ont été détectées au cours de l’été 2019. Lors de ces campagnes, des spams de Google Agenda ont été envoyés à un grand nombre d’utilisateurs, notamment des invitations à des événements et d’autres demandes et offres spéciales qui sont apparues sur les écrans des utilisateurs sans méfiance.
Ces notifications contenaient des liens qui redirigent les utilisateurs vers des pages Web où les utilisateurs pouvaient trouver plus d’informations sur les événements et les offres spéciales. S’ils acceptent les événements, ceux-ci vont être insérés dans les calendriers des utilisateurs et déclencher des notifications automatiques. Les offres et les invitations continuent à apparaître jusqu’à ce que les utilisateurs cliquent sur le lien. Pourtant, ces liens dirigent les utilisateurs vers des pages de phishing où leurs informations d’identification vont être recueillies par les pirates.
Certaines escroqueries exigeaient la saisie des renseignements concernant la carte de crédit de leurs victimes. D’autres exigent que l’utilisateur ouvre une session à l’aide de ses renseignements d’identification Office 365. Des liens peuvent également diriger les utilisateurs vers des pages web où entrainer le téléchargement de malwares par « drive-by » (une des méthodes utilisées par les cybercriminels pour pénétrer un ordinateur à l’insu de son propriétaire).
La plupart des gens sont conscients de la menace que représentent les courriels de phishing, les e-mails malveillants et les messages via les médias sociaux qui recueillent des informations sensibles. Mais les attaques contre les services de Google Agenda sont relativement rares. Par conséquent, de nombreux utilisateurs ne reconnaîtront pas ces notifications et éléments de calendrier comme étant malveillants, en particulier lorsqu’ils apparaissent dans une application de confiance telle que Google Agenda.
Malheureusement, ces attaques sont possibles, car n’importe qui peut envoyer un événement de Google Agenda à un utilisateur. Cet événement sera inséré dans le calendrier de l’utilisateur et déclenchera automatiquement des notifications, comme c’est le cas pour les événements légitimes.
En plus des événements, les messages peuvent inclure des offres spéciales, des notifications de prix en espèces, des alertes sur des transferts d’argent et toutes sortes d’autres messages pour inciter l’utilisateur à cliquer sur un lien malveillant, divulguer des informations sensibles ou télécharger des malwares.
Google Agenda n’est pas le seul service de calendrier qui est sujet à ces attaques. Les utilisateurs d’Apple ont également été ciblés, tout comme les utilisateurs d’autres applications de calendrier.
Comment bloquer les attaques de phishing par Google Agenda ?
Récemment, un employé de Google a reconnu l’augmentation du « spam du calendrier » et a confirmé que des mesures étaient prises par Google pour régler le problème.
En attendant, les utilisateurs peuvent empêcher l’apparition de ces messages malveillants et le phishing en modifiant les paramètres de l’application. Les utilisateurs doivent naviguer dans Paramètres d’événement > Ajouter automatiquement des invitations, et sélectionner l’option « Non, n’afficher que les invitations auxquelles j’ai répondu » et décocher l’option « Afficher les événements refusés » dans « Options de vue ».
Les entreprises devraient également envisager d’inclure les escroqueries de phishing sur Google Agenda dans leurs programmes de sensibilisation à la sécurité. Le but est de s’assurer que les employés sachent que les attaques de phishing ne se font pas seulement via des e-mails, des messages texte, des appels téléphoniques et des messages via les médias sociaux.
Après un été tranquille, le botnet Emotet est de retour. Les acteurs de la menace derrière Emotet envoient des centaines de milliers de spams malveillants qui diffusent le cheval de Troie Emotet via des documents Word.
Emotet est apparu pour la première fois en 2014. Initialement, ce botnet était considéré comme un cheval de Troie bancaire utilisé pour obtenir des informations d’identification sur les comptes bancaires en ligne. Les justificatifs d’identité volés sont utilisés pour effectuer des virements télégraphiques frauduleux et pour vider les comptes bancaires des entreprises. Au fil des ans, le cheval de Troie a considérablement évolué. De nouveaux modules ont été ajoutés pour donner au malware une multitude de fonctionnalités. Emotet est également polymorphe, ce qui signifie qu’il peut muter à chaque fois qu’il est téléchargé pour éviter d’être détecté par les solutions antimalware basées sur des signatures. Jusqu’au début de 2019, plus de 750 variantes d’Emotet ont été détectées.
La dernière version d’Emotet est capable de voler les informations bancaires et d’autres types de données. Il est également capable de télécharger des malwares, et c’est pour cela que les chercheurs en matière de sécurité l’appellent « malware à triple menace », étant donné qu’il a été utilisé récemment pour télécharger les ransomwares TrickBot, Trojan et Ryuk. Ces trois malwares et l’ampleur de la menace font d’Emotet l’un des vecteurs d’attaques cybercriminelles les plus dangereuses auxquelles doivent faire face les entreprises. C’est sans doute le botnet le plus destructeur jamais vu.
L’été dernier, l’activité d’Emotet était si intense et la menace si grave que le ministère de la Sécurité intérieure américain a lancé une alerte à destination de toutes les entreprises en juillet 2018 pour les prévenir de la menace.
Cette mise en garde a été reprise par le National Cyber Security Center du Royaume-Uni, qui a publié sa propre mise en garde contre ce malware en septembre 2018. L’activité est restée élevée pendant une bonne partie de l’année 2019, mais s’est soudainement arrêtée au début du mois de juin lorsque l’activité du serveur de commandement et de contrôle est tombée à presque rien.
L’interruption de l’activité n’a été que brève. Les chercheurs de Cofense Labs ont découvert que ses serveurs de commande et de contrôle avaient été réactivés fin août et qu’une campagne massive de spamming avait débuté le 16 septembre en Allemagne. La campagne était initialement axée sur les entreprises aux États-Unis, en Allemagne et au Royaume-Uni, mais elle s’est maintenant étendue à l’Autriche, l’Italie, la Pologne, l’Espagne et la Suisse.
Après avoir été téléchargé, Emotet se propage latéralement et infecte autant d’appareils que possible sur le réseau. Les comptes de messagerie sur les machines infectées sont détournés et utilisés pour envoyer d’autres spams à tous les contacts du compte. Enfin, le module de téléchargement de logiciels malveillants est utilisé dans une variante secondaire et souvent tertiaire des logiciels malveillants.
La dernière campagne utilise des documents Word contenant des macros malveillantes, qui lancent des scripts PowerShell et qui récupèrent le cheval de Troie Emotet sur une variété de sites web compromis, dont la plupart utilisent le CMS WordPress.
La campagne utilise une variété de leurres, y compris des factures, des avis de paiement et des relevés, dont les détails sont contenus dans des documents Word qui exigent que le contenu soit activé pour voir le contenu du document.
En ouvrant le document, l’utilisateur est invité à accepter le contrat de licence Office 365. Si le contenu n’est pas activé, selon le document, les fonctions de Microsoft Word seront désactivées.
Cette campagne comprend des lignes d’objet personnalisées incluant le nom du destinataire afin d’augmenter la probabilité qu’un utilisateur prenne l’action demandée. Les e-mails sont également conçus pour faire croire au destinataire qu’il a déjà communiqué avec l’expéditeur. En réalité, environ un quart des attaques utilisent ce genre d’arnaque. Selon les données fournies par Cofense, des courriels ont été envoyés à partir de 3 362 comptes de messagerie piratés, utilisant 1 875 noms de domaine.
Pour le moment, on ne sait pas encore si des logiciels de ransomware Ryuk ont été distribués dans le cadre de cette campagne. Plusieurs chercheurs ont confirmé que TrickBot est téléchargé en tant que charge utile secondaire.
Pour bloquer les attaques de malwares polymorphes, vous pouvez mettre en œuvre des mesures de sécurité multicouches, y compris une solution avancée de filtrage de spams, un logiciel antivirus et un filtre web. Vous devez également vous assurer que vos employés sont informés des éventuelles menaces cybercriminelles et des e-mails qui sont utilisés pour distribuer des chevaux de Troie.
Les dangers des attaques de ransomware ont été démontrés lorsque plus de 5 000 patients en Californie ont définitivement perdu leurs dossiers médicaux stockés dans un établissement de soins de santé à la suite d’une attaque de ransomware.
Wood Ranch Medical de Simi Valley, en Californie, a subi l’attaque le 10 août 2019. Des ransomwares ont été déployés et exécutés sur ses serveurs, contenant les dossiers médicaux de 5 835 patients. L’attaque a causé des dommages permanents aux systèmes informatiques, et comme les copies de sauvegarde des dossiers des patients étaient également chiffrées, ils ont été définitivement perdus. On ne connait pas le montant exigé par les pirates pour qu’ils fournissent les clés de déchiffrement au cas où la rançon aurait été payée.
Sans les dossiers des patients et à cause du fait que l’organisation devait reconstruire totalement sa pratique médicale à partir de zéro, la décision a été prise de fermer définitivement l’établissement. Les patients ont été forcés de trouver d’autres prestataires de soins de santé et n’ont plus accès à leur dossier médical.
Il s’agit du deuxième fournisseur de soins de santé aux États-Unis qui a été forcé de fermer ses portes en raison d’une attaque de ransomware. Le Brookside ENT and Hearing Center de Battle Creek, au Michigan, a également fermé son cabinet cette année à la suite d’une attaque similaire. Dans cette affaire, les propriétaires de l’établissement ont refusé de payer la rançon, et les dossiers des patients étaient restés chiffrés. Ils ont été conscients qu’il n’était pas possible de reconstruire le cabinet à partir de zéro et ont annoncé leur retraite anticipée.
On ne sait pas exactement comment le ransomware a été installé dans chacun de ces incidents. Il n’est donc pas possible de déterminer les mesures qui auraient dû être mises en œuvre et améliorées pour prévenir les attaques. Toutefois, dans les deux cas, la récupération des fichiers à partir des sauvegardes n’était pas possible.
Le but d’une sauvegarde est de s’assurer qu’en cas de problème, les données seront récupérables. La récupération des fichiers peut prendre beaucoup de temps et nécessiter des temps d’arrêt en raison de l’attaque qui risque d’être coûteuse, mais les données ne seront pas perdues définitivement.
Afin de s’assurer que la récupération des fichiers est possible, les sauvegardes doivent être testées. Les fichiers peuvent être corrompus pendant le processus de sauvegarde et la restauration des données peut ne pas être possible. Si les sauvegardes ne sont pas testées pour s’assurer que les fichiers peuvent être restaurés, il ne sera pas possible de garantir leur restauration en cas de sinistre.
Ces incidents mettent également en lumière une autre règle fondamentale de la sauvegarde. En fait, il ne faut jamais stocker une seule copie de sauvegarde sur un ordinateur en réseau ou connecté à Internet.
En cas d’attaque de ransomwares, il est fort probable que les copies de sauvegarde sur les périphériques en réseau seront chiffrées et le seul moyen de les récupérer est de payer la rançon.
Là encore, il n’est pas certain que le paiement d’une rançon offre une garantie que les données seront récupérées. Les fichiers peuvent être corrompus par le processus de chiffrement/déchiffrement et les attaquants peuvent décider de ne pas fournir tout simplement les clés pour déchiffrer les fichiers.
Une bonne alternative que vous pouvez adopter pour prévenir de telles catastrophes est d’adopter la règle de sauvegarde 3-2-1. Cela signifie que 3 sauvegardes doivent être créées et être stockées sur 2 supports différents, avec 1 copie gardée en toute sécurité hors site sur un appareil qui n’est pas en réseau ou connecté à Internet.
Le botnet Emotet est revenu à la vie après une période de dormance de 4 mois au cours de l’été. Les premières campagnes, qui impliquaient des centaines de milliers de messages, utilisaient des leurres tels que de fausses factures, des avis de paiement et des relevés pour inciter les destinataires à ouvrir un document Word malveillant, à activer le contenu et à lancer par inadvertance une série d’actions résultant au téléchargement d’Emotet. Emotet est l’une des variantes de malwares les plus dangereuses actuellement distribuées via des messages électroniques.
Cela ne fait que quelques jours que ces menaces ont été détectées. Pourtant, une nouvelle campagne a été détectée, notamment le Malware Spam (MalSpam), un terme utilisé pour désigner les malwares qui sont envoyés par e-mail, qui livre Emotet. Cette fois-ci, le leurre s’est présenté sous la forme d’une copie gratuite du livre d’Edward Snowden, Permanent Record. Le livre est un compte rendu de la vie d’Edward Snowden, notamment concernant les actions de dénonciation qu’il a menées en 2013.
La campagne comprend des versions en anglais, en italien, en espagnol et en allemand du livre. Elle prétend offrir une copie scannée et gratuite du livre de l’ancien employé de la CIA. La version anglaise est distribuée par e-mail, selon les agresseurs, parce qu’il est « temps d’organiser des lectures collectives du livre Snowden partout ». L’e-mail comprend une copie scannée du livre en pièce jointe et incite le destinataire de l’acheter, de le lire, de le partager et d’en discuter. La copie s’appelle Scan.doc.
L’email informe l’utilisateur que Word n’a pas été activé. Par contre, celui-ci peut continuer à utiliser Word pour visualiser le contenu du document. À ce stade, il suffit d’un simple clic pour installer Emotet. Une fois installé, le botnet va télécharger d’autres variantes de malwares, dont le TrickBot Trojan. Il est également utilisé pour distribuer des charges utiles de ransomwares.
Bien que les leurres des campagnes Emotet changent régulièrement, ils ont tous utilisé des scripts malveillants dans des documents Word qui téléchargent Emotet. Les e-mails peuvent être envoyés par des personnes inconnues. Des adresses électroniques peuvent également être usurpées pour donner l’impression qu’ils proviennent d’une personne connue ou d’un collègue de travail.
Les leurres sont convaincants et sont susceptibles de tromper les utilisateurs finaux. Ces derniers sont donc susceptibles d’ouvrir les pièces jointes et d’activer le contenu du message électronique. Pour les entreprises, cela peut entraîner une infection malveillante coûteuse, le vol de justificatifs d’identité, des virements bancaires frauduleux et des attaques de ransomwares.
Les entreprises peuvent réduire ces risques en s’assurant que leurs employés n’ouvrent jamais les pièces jointes de e-mails non sollicités et provenant d’expéditeurs inconnus. Ils doivent aussi vérifier l’authenticité de toutes pièces jointe par téléphone avant de prendre toute mesure. Par ailleurs, les employés ne devraient jamais activer le contenu d’un document envoyé par e-mail.
Bien qu’une formation de sensibilisation à la sécurité des utilisateurs finaux soit essentielle, des solutions antimalware avancées sont également nécessaires pour empêcher que ces messages n’atteignent les boîtes de réception des utilisateurs.
SpamTitan inclut l’authentification DMARC pour bloquer les attaques de phishing par usurpation d’identité. Il intègre aussi un sandbox alimenté par Bitdefender où les pièces jointes suspectes peuvent être exécutées en toute sécurité et étudiées pour détecter les menaces cybercriminelles.
Ajoutez à cela un large éventail de systèmes de contrôles de contenu, y compris l’analyse bayésienne et la liste noire, et les e-mails malveillants seront bloqués et empêchés d’être envoyés aux utilisateurs finaux.
L’activité des kits d’exploitation a été inférieure à celle de 2016 lorsque le pic d’activité a été atteint, mais la menace n’a pas disparu. En fait, le rapport semestriel de Trend Micro sur la cybersécurité montre que l’activité des kits d’exploitation est trois fois plus importante, comparée à celle de mi-2018. Les sites web hébergeant des kits d’exploitation représentent toujours une menace importante pour les entreprises.
Les kits d’exploitation sont des boîtes à outils contenant des exploits qui tirent parti des vulnérabilités des applications logicielles populaires, comme Internet Explorer et Adobe Flash Player. Lorsqu’un utilisateur atterrit sur une page web qui héberge un kit d’exploitation, il analyse le navigateur de l’utilisateur à la recherche de vulnérabilités. Si une faille est identifiée, un malware est automatiquement téléchargé et exécuté sur l’appareil de l’utilisateur. Dans de nombreux cas, l’utilisateur ne sait pas qu’il télécharge un Cheval de Troie, un ransomware ou un malware.
Le trafic est envoyé pour exploiter les vulnérabilités par le biais d’une publicité malveillante (malvertising) sur des sites web à fort trafic. Les utilisateurs peuvent être dirigés vers des sites web malveillants par le biais des e-mails de phishing. Il est également courant pour les cybercriminels de pirater les sites web à fort trafic et de les utiliser pour héberger leur kit d’exploitation. Autrement dit, les utilisateurs peuvent donc visiter un site web malveillant en naviguant tout simplement sur le web.
Il existe actuellement plusieurs kits d’exploitation tels que Magnitude, Underminer, Fallout, GreenFlash Sundown, Rig, GrandSoft, et Lord. Bien que les ransomwares et les chevaux de Troie bancaires soient les charges utiles les plus connues, ces kits d’exploitations peuvent aussi être utilisés pour lancer des mineurs de cryptomonnaies (variantes de malwares) et des chargeurs de botnet.
De nombreux kits d’exploitation ciblent les anciennes vulnérabilités, mais comme les entreprises sont souvent lentes à appliquer les correctifs nécessaires, ils représentent toujours une menace majeure. Les kits d’exploitation tels que GrandSoft et Rig sont régulièrement mis à jour et peuvent désormais tirer parti des vulnérabilités récentes.
Dans l’une des campagnes les plus récemment identifiées, les acteurs de la menace Nemty Ransomware se sont associés aux opérateurs de RIG pour lancer des ransomwares contre les entreprises qui utilisent encore des versions anciennes et vulnérables d’Internet Explorer.
Par ailleurs, un nouveau kit d’exploitation appelé Lord a été utilisé pour infecter les appareils des utilisateurs avec le ransomware Eris. Pour ce cas précis, le trafic était dirigé vers le kit d’exploitation par le biais des publicités malveillantes sur le réseau publicitaire PopCash. Le kit d’exploitation a été principalement utilisé pour exploiter les failles dans Adobe Flash Player, comme CVE-2018-15982.
La protection contre les kits d’exploitation est simple sur le papier. Il suffit de corriger rapidement les vulnérabilités identifiées. D’une manière générale, s’il n’y a aucune vulnérabilité à exploiter, aucun malware ne peut être téléchargé. Malheureusement, dans la pratique, les choses ne sont pas aussi simples. De nombreuses entreprises tardent à appliquer les correctifs ou ne le font pas sur tous les périphériques qu’elles utilisent.
Les logiciels antispam peuvent aider à réduire les risques en bloquant les e-mails de phishing contenant des liens qui redirigent les utilisateurs vers des sites hébergeant des kits d’exploitation. Pourtant, la majeure partie du trafic provient des moteurs de recherche et des publicités malveillantes, et les logiciels antispam ne peuvent pas les bloquer. Pour améliorer vos défenses contre les kits d’exploitation, les téléchargements par drive-by et les sites de phishing, l’une des meilleures solutions est de mettre en place système de filtrage DNS.
Un filtre DNS permet aux entreprises de contrôler soigneusement les sites web auxquels les employés peuvent accéder lorsqu’ils sont connectés aux réseaux filaires et sans fil de l’entreprise. Il peut être configuré pour bloquer différents types de contenu web tels que les jeux de hasard et les sites web pour adultes. Le fait est qu’il bloque aussi tous les sites web malveillants connus. Pour ce faire, le filtre DNS utilise des listes noires de sites web malveillants connus comme ceux qui hébergent des kits d’exploitation ou des formulaires de phishing. Si un site ou une page web est inclus dans la liste noire, il sera automatiquement bloqué. De plus, le filtre DNS peut analyser en temps réel les sites web pour détecter les contenus malveillants.
Comme le filtrage se fait au niveau du DNS, l’accès aux contenus malveillants ou indésirables est bloqué sans qu’aucun contenu ne soit téléchargé. La mise en place de cette solution est rapide et facile, car il suffit de modifier l’enregistrement DNS pour le diriger vers le fournisseur de services. Aucun matériel supplémentaire n’est donc requis, ni le téléchargement d’un logiciel.
Vous souhaitez améliorer vos défenses contre les logiciels malveillants, les ransomwares, les botnets et le phishing, et vous ne contrôlez pas encore le contenu web auquel vos employés peuvent accéder ? Contactez dès maintenant TitanHQ pour demander des informations sur WebTitan. Bien entendu, vous pouvez aussi vous inscrire pour un essai gratuit de cette solution.
