Phishing : une menace internationale, quelle que soit la langue

Le par  |  4 commentaire(s)
phishing

Une tribune de Ismet Geri, Directeur de Proofpoint France et Europe du Sud.

Les chercheurs Proofpoint ont récemment découvert une campagne de phishing de faible volume visant les entreprises en France et en Allemagne. Il s'agit d'un exemple très intéressant de campagne couvrant plusieurs langues et plusieurs pays. Elle démontre notamment le rôle que peut jouer la langue en tant que variable supplémentaire, susceptible d'être exploitée par les pirates afin d'échapper aux dispositifs de sécurité mis en place par les organisations.

Ismet-GeriPas moins de douze documents Microsoft Word différents joints à des courriers électroniques ont été identifiés dans cette campagne, lancée de façon cyclique avec plusieurs expéditeurs et divers titres dans le but de créer une campagne de phishing de masse classique et de permettre aux pirates de contourner les obstacles définis sur la base de la réputation. L'analyse automatisée des pièces jointes a révélé que les documents comportaient une macro malveillante (un virus VBA), qui télécharge et installe le logiciel malveillant Andromeda (connu également sous le nom Gamarue). L'obfuscation du code de la macro et de la charge Andromeda a permis aux pirates d'échapper à un grand nombre d'antivirus : lors de l'analyse des pièces jointes par Proofpoint, à peine 10 % des moteurs antivirus ont en effet été en mesure de les détecter et seuls 5 % d'entre eux ont pu identifier la charge Andromeda.

La campagne comprenait des modèles de courriers électroniques en français et en allemand, ainsi qu'une grande variété d'appâts, d'objets et de messages. Par exemple, l'un des courriers électroniques français invitait les destinataires à prendre connaissance d'un nouvel accord de licence et à y répondre :

Proofpoint-phishing-1

Un autre, rédigé en allemand cette fois-ci, comprenait une facture et exigeait son paiement d'ici le 1er janvier.

Proofpoint-phishing-2

Un autre encore, toujours en allemand, exploitant un modèle de type « Réponse du service technique » et semblant provenir d'un fournisseur d'accès allemand très connu, demandait aux utilisateurs de consulter les nouvelles informations et d'envoyer leur réponse dans les 48 heures.

Proofpoint-phishing-3

Au mois de septembre, nous avions constaté que les URL figurant dans des courriers électroniques non sollicités, envoyés à des destinataires en France et en Allemagne, étaient moins susceptibles de contenir des éléments malveillants que celles intégrées dans des courriers électroniques envoyés aux États-Unis et au Royaume-Uni. Les nouvelles campagnes de phishing exploitent la flexibilité des URL et la possibilité de les rendre malveillantes après la réception des messages pour échapper régulièrement à la vigilance des bases de données de réputation des URL les plus à jour. En s'appuyant sur des pièces jointes plutôt que sur des URL malveillantes pour diffuser la charge, cette campagne démontre que les sociétés implantées en France et en Allemagne auraient tort de penser qu'elles sont moins vulnérables que leurs homologues américaines ou britanniques.

Ces trois exemples de courriers, issus d'une seule et même campagne, attestent de la capacité des nouvelles campagnes de phishing de masse à utiliser plusieurs noms de pièces jointes, appâts, objets et adresses d'expédition pour contourner efficacement les systèmes de défense basés sur la réputation et les signatures. Les pièces jointes au format Word cachaient une macro Word conçue pour contourner les systèmes de détection. Avec pas moins de douze pièces jointes différentes dans une campagne de masse de volume relativement faible, il était quasiment impossible qu'elles soient détectées par les antivirus et les systèmes de vérification de la réputation, et qu'elles ne soient pas autorisées à franchir la passerelle anti-spam la plus puissante. Qu'il s'agisse d'URL ou de pièce jointe, dans les deux cas, cet exemple illustre parfaitement pourquoi les organisations doivent absolument équiper leur passerelle anti-spam existante de fonctionnalités de détection avancées : même les meilleurs systèmes de protection traditionnels finissent par laisser passer certaines menaces.

Il suffit d'ajouter à cette combinaison une variable linguistique et de laisser croire dans un grand nombre de régions d'Europe continentale que les menaces les plus évoluées concernent principalement les pays et les organisations anglophones pour se retrouver face à une infection généralisée : tel est bien le problème, quel que soit le nom que l'on veut bien lui donner.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1822410
Les antivirus ont du travail, pour rattraper ces phishings et surtout les neutraliser !
Ceci dit, l'antivirus ne fait pas tout ! l'internaute a son rôle à jouer ....
Le #1822522
Vous vous méfiez des mails douteux ou il vous est demandé vos coordonnées bancaires , vos logins et mots de passe.Pensez qu'il peut s'agir d'un phishing.Restez prudent.C'est la meilleur défense.Les pirates du web utilisent souvent cette méthode pour soutirer des informations à leur victime.A partir de ces renseignements ils peuvent agir.

Le #1822539
une bonne méthode si on n'est pas sûr du site genre imitation de "ma banque"
déjà on vérifie le https dans la barre d'adresse si on a encore un doute, comme on a droit à 3 tentatives ,on rentre de faux identifiants

si c'est du phising ça part de suite,si c'est ta banque elle te dis identifiant non valide.

c'est pourtant simple......
Le #1823997
Vaux mieux trouver des solutions pour contrer les menaces.
Les Antivirus, c'est plutôt dépassé comme moyen.
Le boss de symantec l'a dit déjà: http://www.zdnet.fr/actualites/pour-symantec-l-antivirus-est-mort-il-faut-aller-plus-loin-39800737.htm

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]