Attention aux faux emails de Vodafone et Enel avec le virus Ursnif : comment les reconnaître


Des emails différents mais le même virus : le sempiternel malware Ursnif s'attaque à nouveau aux comptes bancaires en ligne

Deux dangereuses campagnes d'email phishing, actuellement en cours en Italie, tentent d'exploiter le nom de deux entreprises bien connues pour diffuser un virus très dangereux. Les entreprises en question sont Vodafone et Enel Energia, tandis que le virus est le trojan bancaire Ursnif, qui peut vider votre compte bancaire.

Les faux e-mails de Vodafone ont été découverts par le chercheur en sécurité JamesWT, tandis que ceux qui exploitent le nom d'Enel ont été découverts par la société de cybersécurité italienne D3Lab, qui travaille également avec le Cert, l'équipe d'intervention en cas d'urgence informatique de l'Agence pour l'Italie numérique, qui fait partie du bureau du Premier ministre. Les deux campagnes visent à diffuser le virus Ursnif, un cheval de Troie qui, selon Trend Micro, est un proche parent d'Emotet, Gozi, BitPaymer, Dridex et GameOver Zeus. Voici comment reconnaître les faux emails pour se protéger de l'attaque.

Faux email Vodafone avec le virus Ursnif : comment le reconnaître

Le faux email Vodafone est le plus facile des deux à reconnaître car il a un expéditeur très peu crédible : [email protected]. Le problème est que de nombreux utilisateurs ne lisent pas l'expéditeur et prennent le corps de l'e-mail pour vrai.

Malheureusement, le texte du message présente également les signes classiques qui devraient alarmer ceux qui les reçoivent. On y trouve notamment des fautes de grammaire : "Comme vous l'avez demandé, nous avons transféré votre compte téléphonique de votre ancien opérateur vers Vodafone en activant l'offre Vodafone Ready. Vous trouverez en pièce jointe le fichier contenant les détails et les coûts du basculement, qui seront débités directement du compte bancaire que vous fournissez chaque mois".

La pièce jointe est un fichier "IlUfY.zip" tout aussi incroyable. Mais si le malheureux utilisateur ouvre la pièce jointe, il trouvera un fichier Excel avec un autre message à l'intérieur : "Ce document est protégé. Cryptée par DucuSign. Pour visualiser le document, cliquez sur Activer la modification, puis sur Activer le contenu'.

Sous le message figurent les logos de Microsoft, McAfee, Symantec et RSA Security Analytics. En bref, tout un ensemble d'informations totalement fausses pour inciter l'utilisateur à cliquer sur Enable Modify et Enable Content, qui sont en pratique les commandes d'Office 365 pour activer l'exécution des scripts contenus dans le fichier. Des scripts qui, évidemment, lancent ensuite l'infection.


Faux email d'Enel Energia avec le virus Ursnif : comment le reconnaître

Le deuxième email de phishing qui circule depuis quelques heures, celui au nom d'Enel Energia, est au contraire plus soigné et raffiné. L'expéditeur est en fait [email protected], ce qui est tout aussi faux mais beaucoup plus crédible que le précédent. L'objet de l'email est un classique : "Rappel de paiement".

Le corps de l'email est en bon italien, sans aucune faute, et mentionne des factures impayées en retard. En pratique, il s'agit d'un rappel de paiement des factures d'Enel Energia, d'un montant total de plusieurs centaines d'euros.

Il ne manque pas de données et de modes de paiement, l'habituelle pièce jointe et les liens vers le site internet d'Enel. Dans ce cas, il est donc plus facile de tomber dans le piège car il n'y a pas de signes évidents que l'email est faux.


Ursif : pourquoi c'est un virus très dangereux

Les deux emails portent le malware Ursif. C'est l'un des trojans bancaires les plus répandus en Italie (ce qui signifie malheureusement aussi qu'il est l'un des plus efficaces).

Au moment de l'exécution, Ursnif vérifie d'abord la présence de tout environnement virtuel ou de débogage, pour voir s'il est libre de fonctionner ou non. Si c'est le cas, il affiche un message d'avertissement avec le texte "Client app initialization error !"

Puis il attaque les deux processus système svchost.exe et explorer.exe, en y injectant du code malveillant. Il essaie ensuite de voler le plus d'informations possible du système et les stocke dans un fichier. Il se connecte ensuite à un serveur de commande et de contrôle (C&C) malveillant à partir duquel il télécharge d'autres virus.

Une fois qu'il a pris le contrôle du système, Ursnif peut espionner l'utilisateur de manière extrêmement efficace, allant jusqu'à voler les informations de connexion de tous les comptes en ligne. Ces données sont envoyées au serveur distant, et si ces comptes incluent ceux permettant d'accéder aux comptes en ligne, les ennuis sont à venir : la victime se retrouvera bientôt avec des soldes de comptes importants.

Laisser un commentaire