Plusieurs campagnes de cyberattaques utilisent le coronavirus

Il est conseillé de traiter les informations et notamment les courriels reçus en rapport avec le coronavirus avec attention…

Les liens vers les sources sont dans la section "Liens". 

L'application permettant de suivre l'évolution du Covid-19 victime d'une nouvelle campagne de maliciels :

Selon une étude de ReasonBlog, des attaquants exploiteraient la peur liée au Coronavirus en s'en prenant directement à l'application « Coronavirus Map » qui permet de recenser les cas en temps réel dans le monde. Le maliciel utilisé est AZORult. Il a comme mission principale de dérober les données des utilisateurs et de procurer ainsi à l'attaquant les noms, mots de passes, numéros de cartes de crédit et autres informations sensibles. En plus d'extraire les données des navigateurs et des applications internet des victimes, le maliciel agit comme un téléchargeur, en apportant des logiciels malveillants supplémentaires sur un système infecté. AZORult est couramment vendu sur les marchés des logiciels malveillants en ligne en Russie, et est l'un des revendeurs de données les plus répandus sur ces forums.

 

Les experts de MalwareHunterTeam ont découvert une nouvelle campagne de pourriels sur le thème du coronavirus qui déploie le maliciel FormBook :

L'expéditeur du pourriel en question prétend être l'Organisation Mondiale de la Santé (OMS). Il contient un fichier compressé en .zip nommé « coronavirus update », qui contient un fichier exécutable « MyHealth.exe ». Si celui-ci est exécuté, il installe le maliciel GuLoader, qui va récupérer un fichier sur hxxps://drive.google.com, le déchiffrer et l'injecter dans le processus légitime winint.exe. Enfin, il télécharge le maliciel FormBook, connu pour ses capacités de vol d'authentifiants, de données du presse-papier et en tant qu'enregistreur de frappes. Il peut également télécharger des charges utiles supplémentaires après communication avec un serveur de commande et contrôle (C2).

 

Une nouvelle campagne malveillante exploite le coronavirus :

Repérée par les chercheurs de Cybaze Yoroi ZLab, cette campagne pourrait utiliser comme vecteur de compromission un courriel d'hameçonnage mais les chercheurs n'en sont pas certains. Ils ont pu analyser l'exécutable récupéré depuis le bac à sable Yomi. Le fichier établit une connexion TLS sécurisée avec une plateforme de partage de fichiers afin d'éviter d'être détecté par les pare-feux. Le code malveillant rassemble ensuite les informations sensibles et les transmet au serveur de commande et contrôle distant hébergé sur l'IP 66[.]154[.]98[.]108, soit celle d'un hébergeur opérant aux États-Unis.

 

Une campagne d'hameçonnage utilise le COVID-19 pour propager Trickbot :

Les courriels d'hameçonnage de cette campagne contiennent en pièces-jointes un document Word censé être une liste de précautions à prendre concernant le COVID-19. Le fichier contient en fait un script VBA avec un injecteur téléversant une variante du maliciel Trickbot. Des indicateurs de compromission sont disponibles dans le rapport de Sophos.

 

L'OMS publie un message d'avertissement concernant les courriels d'hameçonnage sur le Coronavirus :

Ces courriels d'hameçonnage usurpent l'identité de l'organisation mondiale de la santé (OMS) pour distribuer des maliciels, siphonner des informations sensibles ou arnaquer les victimes. Ce message fait écho à de précédentes alertes de la part de sociétés de cybersécurité qui ont détecté des campagnes d'hameçonnage utilisant le coronavirus afin de leurrer les victimes.

 

Des attaquants profitent de l'inquiétude liée au coronavirus pour lancer des attaques :

Profitant de l'ampleur médiatique et des inquiétudes liées au coronavirus, des attaquants se font passer pour des agences de santé afin de lancer des attaques. Le cheval de Troie Emotet serait au coeur de ces attaques, dissimulé dans des courriels d'alerte frauduleux qui concernent le coronavirus. Ces courriels prendraient la forme de bulletins officiels émis par des centres de santé publique ou des organismes d'assurance. L'équipe de recherche d'IBM indique que pour le moment ces attaques ont uniquement été détectées au Japon mais qu'elles pourraient s'étendre à d'autres pays.