La campagne de spam malveillant ciblant les organisations est multipliée par 10 en un mois, propage les logiciels malveillants Qbot et Emotet

Kaspersky a dévoilé un pic important d’activité provenant d’une campagne de spam malveillante, qui propage les dangereux logiciels malveillants Emotet et Qbot et cible les utilisateurs en entreprise. Le nombre de ces e-mails malveillants est passé d’environ 3 000 en février 2022 à environ 30 000 en mars. La campagne est probablement liée à l’activité croissante du botnet Emotet.

Les experts de Kaspersky ont détecté une croissance significative des spams malveillants complexes ciblant des organisations dans divers pays. Ces e-mails sont distribués dans le cadre d’une campagne coordonnée visant à diffuser Qbot et Emotet, deux chevaux de Troie bancaires notoires qui fonctionnent dans le cadre de réseaux de botnet. Les deux instances de logiciels malveillants sont capables de voler les données des utilisateurs, de collecter des données sur un réseau d’entreprise infecté, de se propager plus loin dans le réseau et d’installer des rançongiciels ou d’autres chevaux de Troie sur d’autres appareils du réseau. L’une des fonctions de Qbot est également d’accéder et de voler des e-mails.

Alors que cette campagne est en cours depuis quelques mois, son activité a augmenté rapidement, passant de ~3000 e-mails en février 2022 à ~30 000 en mars. Des e-mails malveillants ont été détectés en anglais, français, hongrois, italien, norvégien, polonais, russe, slovène et espagnol.

La campagne de propagation de logiciels malveillants est structurée comme suit : les cybercriminels interceptent la correspondance déjà existante et envoient aux destinataires un e-mail contenant un fichier ou un lien, qui mène souvent à un service d’hébergement cloud légitime et populaire. Le but de l’e-mail est de convaincre les utilisateurs soit (i) de suivre le lien et de télécharger un document archivé et de l’ouvrir – parfois en utilisant un mot de passe mentionné dans l’e-mail, soit (ii) d’ouvrir simplement une pièce jointe à l’e-mail. Pour convaincre les utilisateurs d’ouvrir ou de télécharger le fichier, les attaquants déclarent généralement qu’il contient des informations importantes, telles qu’une offre commerciale.

Ce document archivé est détecté par Kaspersky comme HEUR:Trojan.MSOffice.Generic. Dans la plupart des cas, il télécharge et lance une bibliothèque dynamique Qbot, mais Kaspersky a également observé que certains de ces documents téléchargent à la place Emotet.

Un spam envoyé en réponse à la cible indique que le lien, en fait malveillant, contient la documentation dont le destinataire a besoin

Commentant la campagne, Andrey Kovtun, expert en sécurité chez Kaspersky, a déclaré : « Imiter la correspondance professionnelle est une astuce courante utilisée par les cybercriminels ; cependant, cette campagne est plus compliquée, car les attaquants interceptent une conversation existante et s’y insèrent essentiellement, ce qui rend ces messages plus difficiles à détecter. Bien que ce stratagème puisse ressembler à des attaques par compromission de messagerie professionnelle (attaques BEC) – où les attaquants prétendent être un collègue et ont une conversation avec la victime – ici, les attaquants ne ciblent pas des individus spécifiques ; la correspondance commerciale n’est qu’un moyen intelligent d’augmenter les chances que le destinataire ouvre les fichiers.

Afin de rester à l’abri des attaques de Qbot et Emotet, Kaspersky recommande ce qui suit :

• Vérification de l’adresse de l’expéditeur. La plupart des spams proviennent d’adresses e-mail qui n’ont pas de sens ou qui apparaissent comme du charabia – par exemple, amazondeals@tX94002222aitx2.com ou similaire. En survolant le nom de l’expéditeur, qui lui-même peut être orthographié bizarrement, vous pouvez voir l’adresse e-mail complète. Si vous ne savez pas si une adresse e-mail est légitime ou non, vous pouvez la mettre dans un moteur de recherche pour vérifier.

• Se méfier du message créant un sentiment d’urgence. Les spammeurs essaient souvent d’exercer une pression en créant un sentiment d’urgence. Par exemple, la ligne d’objet peut contenir des mots comme « urgent » ou « action immédiate requise » – pour vous inciter à agir.

• Fournir à votre personnel une formation de base à l’hygiène en matière de cybersécurité ; mener également une attaque de phishing simulée pour s’assurer qu’ils savent distinguer les e-mails de phishing des e-mails authentiques.

• Utilisation d’une solution de protection pour terminaux et serveurs de messagerie avec des fonctionnalités anti-hameçonnage, comme Kaspersky Endpoint Security for Business, pour réduire le risque d’infection par un e-mail d’hameçonnage.

• Installation d’une solution de sécurité fiable telle que Kaspersky Secure Mail Gateway, qui filtre automatiquement les spams.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *