Plusieurs nouvelles campagnes de phishing par email prenant le COVID-19 pour base ont été détectées ces derniers jours. Elles exploitent la peur de la nouvelle pandémie du coronavirus pour diffuser des virus informatiques et pour voler des informations sensibles.
Les gens sont naturellement inquiets d’être infectés par le coronavirus, surtout avec son taux de mortalité élevé. Les e-mails liés au COVID-19 ont ainsi plus de chances d’être ouverts par leurs destinataires.
Certains des e-mails de phishing qui ont été interceptés sont faciles à identifier comme étant malveillants. Ils sont mal rédigés et comportent des fautes d’orthographe et de grammaire. Pourtant, certaines campagnes ont été conçues par des experts. Elles sont très convaincantes et sont susceptibles de duper de nombreuses personnes.
Les premières campagnes de phishing utilisant COVID-19 ont été détectées en janvier et le nombre de menaces n’a cessé de croître au cours des dernières semaines. De nombreux pirates utilisent maintenant les leurres du phishing utilisant COVID-19 pour tromper les personnes non averties dans le but de les inciter à divulguer leurs informations d’identification ; à visiter des liens malveillants ou à télécharger des malwares.
L’Organisation mondiale de la santé (OMS) a lancé un avertissement après la détection de plusieurs campagnes de phishing se faisant passer pour l’OMS. Les messages prétendaient fournir des informations essentielles sur des cas dans certaines régions et délivrent des conseils sur la manière d’éviter l’infection.
L’une des campagnes les plus récemment détectées prétendait fournir des mises à jour concernant les actualités liées au Coronavirus. Les e-mails contenaient une pièce jointe au format ZIP qui semblait être un fichier PDF (MYHEALTH.PDF).
Cependant, le fichier était un fichier exécutable (MYHEALTH.exe). S’il était ouvert, il déclenchait le téléchargement de GULoader qui, à son tour, télécharge le malware Formbook à partir de Google Drive.
Une autre campagne similaire a inclus une pièce jointe Word qui a téléchargé le cheval de Troie TrickBot. Ce dernier a été utilisé pour livrer le logiciel de rançon Ryuk comme charge utile secondaire.
Les Centres de contrôle et de prévention des maladies sont également utilisés comme un moyen pour les pirates de lancer des attaques. Une autre campagne affirme que le nouveau coronavirus est devenu une menace aérienne et met en garde contre de nouveaux cas dans certaines régions.
Les e-mails semblaient avoir été envoyés à partir d’un compte de messagerie électronique légitime du CDC (CDC-Covid19@cdc.gov). Ils contenaient une pièce jointe intitulée « Mesures de sécurité » qui semblait être une feuille de calcul Excel. Celle-ci était en réalité un fichier exécutable (.exe). Un double clic sur la pièce jointe déclenchait le téléchargement d’un cheval de Troie bancaire.
Les campagnes de phishing par courriel et par SMS visaient les contribuables britanniques et se faisaient passer pour le HM Revenue and Customs (HMRC). Les courriels comportent un logo légitime du HMRC et informaient les destinataires d’un nouveau programme de remboursement d’impôt COVID-19.
Selon les courriels, un programme de remboursement a été mis en place en coopération avec la National Insurance et les National Health Services pour permettre aux contribuables de demander un remboursement d’impôt et pour les aider à faire face à la pandémie de coronavirus. Afin de recevoir le remboursement, l’utilisateur devait fournir son nom, son adresse, le nom de jeune fille de sa mère et son numéro de carte bancaire.
Ces derniers jours, une campagne de distribution de malwares sur Internet a été identifiée. Plusieurs sites web affichent maintenant des cartes du monde et des tableaux de bord qui permettent aux gens de suivre la propagation du virus et de connaître l’emplacement des nouveaux cas.
Les gens sont naturellement préoccupés par les cas dans leur région, et les cartes des sites web attirent beaucoup de visiteurs.
Shai Alfasi, chercheur en sécurité à Reason Labs, a découvert plusieurs sites web utilisant de fausses versions des cartes et des tableaux de bord.
Les sites web incitent les utilisateurs à télécharger une application qui leur permet de suivre les infections en temps réel. L’application est un fichier exécutable qui implique le téléchargement du voleur d’informations AZORult.
Les infections COVID-19 ne cessent d’augmenter et les campagnes de phishing utilisant COVID-19 devraient donc se poursuivre. Les organisations doivent sensibiliser leurs employés à la menace des attaques de phishing utilisant COVID-19 et veiller à ce que des solutions techniques appropriées soient mises en œuvre pour bloquer les attaques sur le web et via le courrier électronique.
TitanHQ peut aider les utilisateurs, en fournissant des solutions de sécurité avancées pour le courrier électronique et le web afin de bloquer ces attaques. Si vous n’avez pas encore mis en place un filtre web ou une solution de sécurité du courrier électronique pour protéger vos comptes Office 365, c’est le bon moment pour commencer. Contactez TitanHQ dès aujourd’hui pour plus d’informations.