Notre solution antivirus et antispam EndiGuard.Mel constate actuellement une nouvelle vague d’attaques de cryptolockers par e-mail.
Cette attaque est similaire à d’autres attaques déjà très ciblées déjà endiguées par le passé, mais avec quelques nouveautés…
-Une crédibilité particulièrement soignée pour mieux tromper le destinataire
Usurpation d’identité
Les pirates se sont donné beaucoup de mal pour apporter de la crédibilité à ces emails frauduleux et rassurer les utilisateurs méfiants : ils utilisent des noms d’entreprises et de personnes réelles, notamment les noms des gérants dont l’identité est consultable sur les sites qui référencent les sociétés, et une ligne téléphonique existante, redirigeant sur une boîte vocale.
Faux message antivirus
L’e-mail comprend même un message indiquant qu’il a déjà fait l’objet d’une analyse antivirus !
Apparence « rassurante » du code exécutable
Le code VB utilisé dans le document est très peu obscurci, afin de donner l’apparence d’un code exécutable fiable, de faux commentaires sont même ajoutés dans le code afin de laisser penser que les fonctions de ce dernier sont légitimes.
De nouvelles stratégies de contournement des systèmes antivirus
Un e-mail poids lourd
L’e-mail frauduleux fait entre 1,5 à 5 Mo, sachant qu’une grande partie des antivirus email ne scannent pas les e-mails de poids supérieurs à 1Mo pour des raisons de performances, cela permet au virus de passer plus facilement.
Un virus « embarqué »
Dans les anciennes générations de ces attaques, le document joint ne contenait pas directement le virus, mais un programme qui déclenchait le téléchargement du cryptolocker.
Dans cette version, le virus est directement encodé dans la pièce jointe, les analyses heuristiques d’antivirus, basées sur des échanges TCP (qui vérifiaient donc si l’ouverture du document provoquait un téléchargement), deviennent donc obsolètes.
Contournement des moteurs de scan Antivirus
Une des fonctions contenue dans le virus, est une méthode d’évasion connue (Hyperion / peCloak) qui a pour objet de tromper le logiciel antivirus afin qu’il ne détecte aucun risque potentiel lorsqu’il scanne le fichier.
Des comportements plus agressifs
Exploitation de failles des logiciels de messagerie, des outils bureautiques
L’e-mail reçu contient des pièges JavaScript afin de tenter de forcer l’ouverture de la pièce jointe sans intervention de l’utilisateur, exploitant des failles récentes sous Thunderbird ou Outlook, par exemple.
La pièce jointe quant à elle contient des pièges VBScript afin que les logiciels qui ouvrent la pièce jointe (comme Word) lancent le programme malveillant sans l’alerte de la part du logiciel.
Si vous utilisez EndiGuard.Mel
Que nos clients se rassurent, notre solution antivirus et antispam EndiGuard.Mel bloque ces attaques avec un score assez élevé et un temps d’analyse très faible.
Ces e-mails sont bloqués et détruits directement par notre plateforme.
Si toutefois vous utilisez d’autres solutions de messagerie, faites preuve de méfiance et dans tous les cas, n’oubliez pas nos conseils de prudence