Phishing
La période a été marquée par un incident survenu durant le mois de mars pendant lequel, plusieurs personnes furent la cible de phishing usurpant l’identité du service « eboo ». L’originalité de cette campagne repose sur sa diffusion se faisant exclusivement par SMS (cf. image ci-dessous). Par ce moyen, l’utilisation de raccourcisseurs de lien (tel que : cutt.ly, bit.ly …) reste encore très répandue pour délivrer du phishing. Ces raccourcisseurs permettent à la fois, de rendre les SMS envoyés plus courts mais aussi de rediriger les victimes vers d’autres liens bien plus douteux.
L’objectif des acteurs malveillants était de subtiliser les moyens d’authentification des victimes, en usurpant la page originale du « service ». L’accès à ces comptes permet aux acteurs malveillants de perpétrer une fraude à l’insu des victimes.
Les campagnes de phishing visant à récupérer les coordonnées bancaires des victimes restent soutenues. La motivation financière et la volonté de retour sur investissement rapide sont les raisons de ces attaques.
Nous avons également pu être témoins de l’utilisation de la marque « POST » pour tenter de récupérer des identifiants de carte bancaire en prétextant la réception d’un colis nécessitant un paiement supplémentaire.
Enfin, lorsque les victimes sont des entreprises, les acteurs malveillants ont pu faire preuve d’ingéniosité pour subtiliser des identifiants de comptes. En effet, les pages d’authentification Microsoft Office365 et Outlook ont été usurpées en vue de récupérer les identifiants des utilisateurs professionnels qu’il s’agisse d’accès au Webmail de l’entreprise ou de comptes Active Directory. Ces campagnes ont principalement lieu afin d’obtenir un accès initial à l’entreprise victime en vue d’atteindre un objectif souhaité (vol de données, de documents confidentiels, fraude, réutilisation de ressources, etc…).
Au cours de la période, nous avons pu obtenir un classement des hébergeurs préférés des acteurs malveillants sur la période Q1 2022 :
Spam
Nous avons pu observer des campagnes de spam visant des numéros de mobile luxembourgeois avec la particularité de l’utilisation du service iMessage (Apple) pour propager ces contenus indésirables. La diffusion de ces messages contourne donc les réseaux mobiles classiques. Ces messages promettaient une rémunération si la victime rappelait un numéro étranger. Il s’agit d’un cas classique d’une tentative de fraude téléphonique apparenté au Wangiri sans pour autant utiliser un premier appel pour susciter la curiosité des victimes potentielles.
Malware
Emotet
Nous avons observé que ce logiciel malveillant est envoyé en pièce jointe depuis une adresse email légitime usurpé par l’attaquant. L’adresse email peut, par exemple, provenir d’un carnet d’adresses dérobé sur une machine appartenant à une tierce personne ayant fait l’objet d’une précédente attaque.
Dans le but d’accroître sa crédibilité, les acteurs malveillants ajoutent un échange d’email au fil de discussion. Ce procédé laisse penser à la victime qu’elle a eu un échange avec un interlocuteur légitime.
De plus, de manière à contourner les antivirus, le code malveillant est compressé et protégé par mot de passe.
Le fichier malveillant est présenté comme étant un antivirus, c’est le moyen choisi par l’attaquant afin de diminuer la vigilance de la cible.
Au moment de son exécution, par désactivation des mécanismes de protection sur le logiciel Microsoft Excel, des scripts sont déployés et un contrôle de la machine est effectué par des acteurs malveillants.
Au cas où vous seriez dans cette situation, nous vous conseillons de contacter vos référents en cybersécurité. POST CyberForce peut vous aider à faire face à ce genre de situation.
DoS/DDoS
- Global UDP Fragment Abnormal
- ACK Flood
Masquerade
Vulnérabilités
Log4j
Microsoft Exchange Server
Nous vous recommandons fortement d’appliquer les correctifs nécessaires à la protection de vos serveurs et donc de vos actifs informationnels que constituent les emails.
Intrusions
- Utiliser des mots de passe différents pour chaque compte personnel et professionnel.
- Éviter aussi d’utiliser dans le mot de passe des informations que l’on peut facilement trouver vous concernant sur internet (réseaux sociaux, blog …).
- Le mot de passe doit contenir au minimum 12 caractères mélangeant des majuscules, des minuscules, des chiffres et des caractères spéciaux. Vous pouvez aussi utiliser une phrase secrète.
- Vous devez être la seule personne à connaître le mot de passe. Ne garder jamais un mot de passe par défaut.
- Activer la double authentification si vous avez la possibilité.
- Enfin n’hésitez pas à changer de mot de passe au moindre soupçon.
Ces précautions protègent vos accès. Il est crucial de les appliquer. Réutiliser le même mot de passe sur plusieurs sites et utiliser des mots de passe trop simples augmentent les risques de compromettre vos accès.