Les cybercriminels changent constamment de tactique et trouvent de nouvelles façons de tromper les gens pour qu’ils remettent leurs identifiants ou installent des malwares. De nouvelles campagnes sont lancées quotidiennement, avec des leurres éprouvés tels que de faux avis de livraison de colis, de fausses factures et de faux bons de commande, ainsi que des demandes de collaboration très courantes.
Récemment, un groupe de pirates a opté pour un leurre rarement vu, mais qui a le potentiel d’être très efficace. Il s’agit de fausses assignations à comparaître devant le tribunal. Les emails font appel à la peur et l’urgence, amenant ainsi les utilisateurs à paniquer et à les ouvrir rapidement.
Cette campagne est en cours depuis quelques semaines et vise les utilisateurs du Royaume-Uni, bien que l’arnaque puisse facilement être adaptée et utilisée dans des attaques contre des utilisateurs d’autres pays.
De nombreuses escroqueries de phishing ont pour but de voler des identifiants pour permettre d’accéder à des comptes de messagerie ou à des comptes Office 365. Pour ce cas précis, l’objectif était de diffuser malware voleur d’informations appelé « Predator the Thief ».
Les emails de phishing semblent avoir été envoyés par le ministère de la Justice du Royaume-Uni. Le champ expéditeur porte le nom du ministère de la Justice et les emails portent l’écusson du ministère de la Justice.
Les emails avertissent l’utilisateur qu’il a été assigné à comparaître en justice. Il reçoit un numéro de dossier et la date à laquelle il a été assigné à comparaître. Les messages comprennent également un hyperlien sur lequel l’utilisateur doit cliquer pour connaître les détails de l’accusation et les documents qu’il devra apporter avec lui au tribunal. Pour rendre le message encore plus urgent, les pirates ont ajouté un avertissement, mentionnant que le destinataire ne dispose que de 14 jours pour répondre à l’avis et que l’affaire se poursuivra sans lui s’il ne répond pas.
L’URL de l’email semble bénigne, car elle renvoie l’utilisateur à Google Docs – un site Web de confiance. En cliquant sur le lien, il sera d’abord dirigé vers Google Docs, puis redirigé vers OneDrive. Lorsqu’il arrive sur le site de OneDrive, un document est téléchargé. Ce document contient une macro malveillante qui lance une commande PowerShell, téléchargeant ensuite le malware « Predator the Thief ».
« Predator the Thief » est un voleur d’informations qui peut faire des captures d’écran et voler les informations d’identification des emails et des protocoles FTP, ainsi que les portefeuilles de devises cryptographiques et les informations du navigateur. Contrairement à de nombreux voleurs d’informations sur les navigateurs, cette variante de malware ne cible pas seulement les navigateurs principaux, mais une multitude de navigateurs moins populaires. Une fois les informations volées, le malware se nettoie et quitte le système, ce qui rend la détection de l’infection plus difficile.
Les escroqueries de phishing de ce type soulignent la nécessité d’une sécurité à plusieurs niveaux. Naturellement, une solution antispam avancée telle que SpamTitan doit être mise en œuvre pour bloquer ces menaces et garantir que les messages malveillants n’arrivent pas dans les boîtes de réception des utilisateurs finaux. SpamTitan comprend également une authentification DMARC des emails pour bloquer les tentatives d’usurpation d’identité et une sandbox où les pièces jointes des emails sont analysées pour détecter les actions malveillantes.
SpamTitan bloque plus de 99,9 % de tous les emails malveillants, mais il n’est pas possible de bloquer 100 % des menaces, quelle que soit la solution de sécurité de messagerie que vous utilisez. C’est là qu’une autre couche est nécessaire. WebTitan est une solution de filtrage DNS qui bloque les menaces de ce type au cas où une recherche DNS est effectuée. Cela permet de bloquer les sites web avant qu’un contenu malveillant ne soit téléchargé. WebTitan peut également être configuré pour bloquer les téléchargements de certains types de fichiers.
Avec ces deux solutions en place, votre entreprise sera bien protégée contre les emails de phishing et les téléchargements de malwares via le web.