Vague de malpam en Italie : attention aux factures jointes à des mails provenant d'adresses inconnues
Deux types d'attaques pirates, par des cybercriminels, ont lieu en Italie dans la dernière période. Nous en avons parlé dans cet article, qui a également été repris par Federprivacy, la principale association italienne des professionnels de la protection des données.
Les attaques, qui visent à propager les virus connus sous le nom de SLoad-ITA et Danabot, se présentent sous la forme d'un email frauduleux classique nous invitant à ouvrir des liens ou des documents joints comme une facture électronique.
A l'heure actuelle, la meilleure mesure de précaution est donc toujours la plus " classique " et confiée à la prudence de l'utilisateur : ne pas ouvrir et mettre immédiatement à la poubelle tout courriel qui nous invite à télécharger de tels documents surtout s'il provient d'un expéditeur ou d'une adresse inconnus. En fait, il est toujours utile d'analyser attentivement les courriels provenant d'expéditeurs connus avant de s'aventurer sur des liens ou des téléchargements : ils peuvent avoir été eux-mêmes infectés ou être des faux.
Qu'est-ce que le virus SLoad-ITA
SLoad-ITA, comme son nom l'indique, est la version italienne d'une attaque de pirates informatiques qui a eu lieu au Royaume-Uni en mai 2018. Il s'agit d'une attaque par malspam, dans laquelle le logiciel malveillant qui infecte l'ordinateur est envoyé par le biais d'une campagne massive de spamming visant à toucher le plus grand nombre d'utilisateurs. Pour y parvenir, les cybercriminels ont également utilisé des techniques d'ingénierie sociale pour se faire passer pour des interlocuteurs faisant autorité et convaincre les utilisateurs de faire exactement ce qu'ils veulent.
Pour tromper les utilisateurs, le groupe de pirates à l'origine de l'attaque SLoad-ITA envoie un message électronique annonçant une facture impayée (en pièce jointe) datant de juillet 2018. En téléchargeant la pièce jointe, on se rend compte qu'il s'agit d'un fichier ZIP (c'est-à-dire un dossier compressé) et non d'un fichier PDF ou DOC comme on pourrait s'y attendre. Lorsque vous ouvrez le fichier compressé, vous trouverez deux fichiers : une image et un fichier portant l'extension LNK. Tenter d'ouvrir le fichier LNK ne fera que lancer le malware, un trojan RAT (qui signifie Remote Access Trojan) qui donne aux pirates l'accès aux données de notre disque dur et permet de télécharger d'autres malwares sans que l'utilisateur s'en aperçoive.
Spécifiquement, SLoad-ITA serait capable de prendre des captures d'écran périodiques pendant que nous utilisons l'ordinateur et de les envoyer automatiquement au pirate. De cette façon, le cybercriminel saura toujours ce que nous faisons.
Qu'est-ce que le virus Danabot
La deuxième menace, dont la propagation en Italie a commencé dans les derniers jours de novembre 2018, est un trojan bancaire déjà connu des experts en sécurité du monde entier. Comme le précise ESET, l'une des principales sociétés de sécurité informatique, Danabot est un logiciel malveillant modulaire et multiniveau, qui peut être modifié et personnalisé par les pirates à l'aide de plugins afin de l'adapter aux différentes réalités nationales dans lesquelles il peut être utilisé.
Dans ce cas également, la propagation a eu lieu par le biais d'une campagne de spam très similaire à celle utilisée pour diffuser SLoad-ITA, un fait qui laisse penser que le même groupe pourrait se cacher derrière les deux attaques. Sur ce point, cependant, il n'y a aucune certitude. Danabot se propage via un fichier compressé avec une extension RAR, qui contient des fichiers infectés qui s'installent dans la mémoire de l'ordinateur affecté.
Comme mentionné, l'objectif initial de Danabot était de récupérer et de voler les informations bancaires des utilisateurs attaqués (identifiants bancaires à domicile, numéros de carte de crédit, etc.), mais suite à des modifications apportées ces dernières semaines, le malware a vu ses possibilités offensives augmenter considérablement. Danabot permet désormais aux pirates de contrôler à distance les ordinateurs infectés (grâce à un plugin appelé VNC) ; d'analyser les paquets de trafic de données et de récupérer divers types d'informations sur les habitudes de l'utilisateur (plugin Sniffer) ; de voler les mots de passe des navigateurs, des clients de messagerie et d'autres logiciels installés sur le PC (plugin Stealer).