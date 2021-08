En se basant sur des données de Google Trends, l'entreprise de cybersécurité Proofpoint souligne pour la dernière semaine du mois de juin, un pic des recherches en rapport avec le variant Delta du Covid-19. Un intérêt public et à l'échelle mondiale qui reste au plus haut depuis, avec un regain en août après une légère baisse.

Sans grande surprise, les cybercriminels ont comme toujours profité du contexte s'offrant à eux avec les sujets d'actualité du moment pour augmenter de manière significative le volume des menaces exploitant donc le thème du Covid-19. Elles avaient connu une accalmie entre le printemps et le début de l'été 2021.

En plus d'une augmentation des menaces pour la compromission de la messagerie professionnelle, Proofpoint met en avant celle de tentatives de phishing pour dérober des identifiants Microsoft et Office 365 (ou Microsoft 365), la distribution de malwares identifiés en tant que RustyBuer, Formbook et Ave Maria.

Du grand classique...

Avec pour cible des milliers d'entreprises, des messages contiennent par exemple une URL aiguillant vers une fausse page d'authentification Microsoft conçue pour recueillir des identifiants. Les emails sont prétendument envoyés par des services de ressources humaines avec pour objet la vaccination contre le Covid-19.

RustyBuer est actuellement considéré comme l'une des menaces les plus actives en lien avec le Covid-19. C'est une variante écrite en Rust du malware Buer de type downloader qui est utilisé comme point d'ancrage dans des réseaux compromis pour distribuer d'autres malwares, y compris des ransomwares.

Pour RustyBuer, Proofpoint donne l'exemple de campagnes avec des emails sur la vaccination contre le Covid-19 et le port du masque à l'intérieur. Des messages avec des tournures de phrase difficilement compréhensibles, mais ils évoquent une urgence avec une pièce jointe qui est une archive zip protégée par mot de passe. En réalité, un fichier Excel avec des macros dont l'activation télécharge et exécute RustyBuer.

Dans un billet de blog, Proofpoint publie des indicateurs de compromission. Ils ne représentent qu'un échantillon des menaces récentes en lien avec l'actualité du Covid-19.