Les emails malicieux existent depuis plusieurs années.
Voici un récapitulatif de la genèse de ces attaques et quelques méthodes utilisées dans des campagnes afin de savoir comment les éviter.
Historiques des campagnes d’emails malicieux
2000-2004 : les vers de messageries
De 2002 à 2004 des vers de messageries ont été créés, des noms connus tels que W32.Mydoom.M, le vers Sobig ou encore le vers I Love You ont infectés des millions d’ordinateurs à travers le monde.
A l’époque, les campagnes d’emails débutaient et les internautes n’étaient pas très avertis.
Le vers est un malware qui est capable de s’auto-répliquer d’un ordinateur à l’autre. Dans le cas de ces vers, une fois l’ordinateur infecté, il voulait le carnet d’adresse et envoyé des mails malicieux afin d’infecter l’ordinateur des cibles.
Les emails reçus étaient accompagnés d’une pièce jointe qui était une copie du ver.
Si l’internaute exécutait cette pièce jointe, le ver s’installe sur l’ordinateur, l’ordinateur envoie alors des emails aux contacts.
2007 : vers Zhelatin/Storm
2007 voit arriver la professionnalisation des campagnes d’emails avec le ver Storm/Zhelatin/Trojan.Peacomm/Trojan.Nuwar.
Le nom Storm provient du fait que la première campagne tire partie de la tempête Cyril qui a frappé le nord de l’Europe.
Les innovations apportées par ce malware sont multiples :
- L’un des premiers vers a utilisé la technologie Rootkit Kernel-mode, d’autres suivront.
- Un des premiers à utiliser des liens clickables externes au lieu de pièges jointes.
- Un des premiers à utiliser des campagnes par thèmes (cartes pour la Saint Valentin, Poisson d’Avril, Carte de vœux de noël etc).
Quelques exemples de campagnes.
- Un email qui consiste à donner des liens qui conduisent aux binaires malicieux.
- Storm Worm : Campagne MP3 World
- Storm Worm : campagne email célébrités nues
- Mi-2008 : Trojan-Downloader.Win32.Exchanger : faux-codecs et mails
- Trojan-Downloader.Win32.Exchanger ont été des campagnes d’emails qui avaient pour but de faire installer au final des rogues/scarewares
A partir de maintenant, nous n’avons plus à faire à des vers, des réseaux de botnets de spam sont loués pour envoyer ces campagnes malicieuses.
Ces campagnes utilisaient plusieurs thématiques :
- des emails de célébrités qui redirigeaient vers de fausses pages de codec
- de faux emails de news reprenant CNN
- faux messages électroniques promettant les gains de « La loterie Microsoft ».
Malheureusement, 100% des joueurs n’ont rien gagné à la « Loterie Microsoft », parce qu’il n’existe pas de « Loterie Microsoft ».
Le but est donc de trouver un prétexte pour faire cliquer, rediriger vers une fausse page de codec ou un binaire et faire exécuter.
Une fois exécuté, le rogue/scareware était installé sur l’ordinateur.
2009+ : TDSS et Zeus/Zbot
Par la suite d’autres campagnes ont eu lieu, pour divers malwares et notamment Zeus/Zbot ou TDSS.
La particularité de ces campagnes est de reprendre des services connus (UPS, DHL Service, Facebook, Banques etc) afin de faire cliquer l’internaute.
Généralement, ces emails redirigeaient vers des exploits WEB.
Mail ecard : Zbot/Zeus et TDSS.
Microsoft Outlook Critical Update – Zbot/Zeus ou encore MySpace ou UPS.
2014/2015 : Upatre et TrojanDownloader:Win32/Dalexis
2014/2015 ont vu des campagnes de malwares Upatre puis en 2015 de TrojanDownloader:Win32/Dalexis.
Ces deux malwares sont des trojans downloader qui ont pour but d’installer des Ransomware chiffreurs de fichiers.
Ces campagnes visent surtout les anglophones et reprennent des services connus comme Fax Services, Voice Message.
Toutes ces campagnes utilisent des pièces jointes malicieuses.
Et de nos jours … à la Une
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) nous alerte sur une nouvelle forme d’attaque informatique visant particulièrement les entreprises Françaises.
Un « rançongiciel » (ransomware) est un logiciel malveillant qui prend en otage des données personnelles (sur votre ordinateur, disque externe et clé USB ou en réseau). Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.
l’ANSSI tient à souligner que le recouvrement des données après paiement n’est en aucun cas garanti. Au-delà du fait que cela encourage ce type d’attaque, le recours à un moyen de paiement par carte bleue expose la victime à des utilisations frauduleuses de celle-ci.
Dans le cas de l’alerte en cours (ransomware CTB-Locker) la propagation repose sur une campagne d’hameçonnage (phishing) par exemple via un e-mail usurpant éventuellement l’identité d’une personne que vous connaissez, et via une pièce jointe
- Fichier avec l’extension SCR
- Fichier avec l’extension SCR compressé dans un fichier au format ZIP (parfois il s’agit de compressions imbriquées)
- Fichier avec l’extension CAB
Ne cliquez jamais sur ce type de pièces jointes même si l’expéditeur du mail vous parait fiable ! Si vous avez le moindre doute contactez votre service informatique.
Les systèmes affectés : Toutes versions du système d’exploitation Windows.
Le meilleur moyen de se protéger face à cette menace : la vigilance et les sauvegardes régulières de vos données.
Vous pouvez relayer cette alerte autour de vous.
Bulletin d’alerte CERTFR-2015-ALE-003 du 5 février 2015
http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-003/CERTFR-2015-ALE-003.html
Les techniques utilisées
Comme vous pouvez le constater dans l’historique des campagnes d’emails malicieux, deux méthodes sont utilisées pour infecter les internautes.
Soit des pièces jointes infectées,
soit faire cliquer pour proposer un binaire ou rediriger vers un exploit WEB.
Les campagnes d’emails utilisent donc à souhait le social engeenering / ingénerie sociale pour tromper les internautes.
En premier lieu en se faisant passer pour des services connus, si en majorité les campagnes sont en langue anglaise, il peut arriver que des campagnes ciblées aient eu lieu en langue française.
L’autre technique consiste à utiliser une icône PDF sur l’exécutable.
En effet Windows masque les extensions de fichiers, l’internaute verra donc un fichier avec une icône PDF et pensera alors que c’est un PDF alors qu’il s’agit d’un exécutable.
Ces techniques sont très anciennes et aussi utilisés par Les vers MSN vers 2007.
Ces derniers se faisaient passer pour des photos alors qu’il s’agissait d’exécutables.
On peut même parfois avec des emails avec des pièces jointes malicieuses en .gadget.L’autre réflexe en cas de doute consiste à faire analyser le fichier sur VirusTotal, si des détections sont présentes, n’exécutez pas ce dernier.
Mais si vous regardez bien, quasi toutes les pièces jointes malicieuses utilisent des fichiers .zip – vous devez donc préter une attention particulière à ces fichiers.
Mais les documents Word peuvent aussi être malicieux (certaines embarquent des macros) : http://blog.trendmicro.com/trendlabs-se … infection/
Prenez bien le temps de lire le contenu de l’email aussi afin de déceler des fautes, des erreurs de syntaxes ou des éléments qui peuvent faire penser que l’email n’est pas authentique.
Vous devez donc retenir ceci :
Afficher les extensions de fichiers – se reporter à la page Les extensions de fichiers et la sécurité
Méfiez-vous des pièces jointes et notamment des .zip
Méfiez-vous des emails qui demandent de cliquer sur un lien.
Ne pas ouvrir de lien ni de pièces jointes si l’utilisateur ne vous parait pas fiable
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l’inverse – Les fichiers/programmes c’est comme les bonbons, quand ça vient d’un inconnu, on n’accepte pas …
Où trouver de l’information sur les virus
Site de vérification de mail frauduleux ou hoax (« canular » en français) : http://www.hoaxbuster.com
Site d’alerte virale : http://www.secuser.com
Outils (de désinfection) utiles :
Et toujours … « Google est ton ami !«
Amiadom 