Télécharger le fichier joint
Transcription
Télécharger le fichier joint
Le 27 octobre l’agence de communication Pixolutions a été victime du malware Dridex, l’entreprise dirigée par Thierry BERNAL est installée à Muret depuis 2002. L’agence spécialisée dans la communication d’entreprises (conception, web, impression, ...) a en effet vu son standard téléphonique saturé en moins d’une heure (un appel toutes les 15 secondes ...), sa messagerie vocale saturée, sa messagerie mail «explosée» ... et ses comptes bancaires ... convoités et SURTOUT SON IDENTITÉ USURPÉE. Un mail contenant un virus (Dridex) et intitulé «... Pixolutions ...» a été très largement diffusé en Europe, celui-ci a provoqué de très nombreux appels et mails adressés à l’agence pour connaitre les motifs de ce mail «bizarre». Pixolutions a toujours bénéficié d’une image irréprochable auprès de sa très fidèle clientèle. L’agence a donc dû réagir face à cette situation de gestion de crise. «Nous avons tout d’abord été surpris, mais au deuxième appel déjà nous avons compris qu’il fallait réagir, nous avons toujours énormément de commandes et nos clients comptent sur nous, nous avons de suite réagi en isolant nos lignes téléphonique et mail de façon à pouvoir nous consacrer à nos clients qui savent nous joindre par d’autres moyens... [...] Très rapidement nous avons réuni nos partenaires (banques, administrateurs web, sécurité informatique, cyber-gendarmerie et gendarmerie de Muret). Les systèmes bancaires ayant globalement fonctionnés pour bloquer les opérations initiées, nous nous sommes isolés volontairement mais par obligation surtout afin de pouvoir assurer la production des travaux en cours. Bien sûr le préjudice subit n’est pas indolore mais nous avons fait le nécessaire pour nos clients. La banque a fait son travail, le plus préjudiciable pour nous en fait, était de voir notre notoriété jusque-là sans faille, entachée en moins de 2h ... Nous n’étions pas expéditeurs de ces mails mais simplement mentionnés dans le sujet de celui-ci.[...] Légitimement les destinataires ont pu suspecter une action volontaire de notre part et ont cherché à nous contacter, tous ont collaboré avec nos services. Cherchant à résoudre cette situation nous avons choisi d’Alerter, d’Informer et de Communiquer» Le malware Dridex cible des entreprises françaises. … Depuis quelques jours, les entreprises françaises subissent une attaque visant à les infecter par un trojan bancaire connu sous le nom de Dridex. L’un des logiciels malveillants les plus virulents de 2015 fait son retour en France : plusieurs vagues d’envois massifs de courriels contenant le virus Dridex ont été constatées ces derniers jours. Ce malware de type « cheval de Troie» s’installe sur les ordinateurs Windows via pièces jointes piégées, dans le but de voler des coordonnées bancaires. D’où vient ce virus ? Identifié dès juillet 2014 et repéré dans au moins 26 pays, Dridex n’a jamais vraiment disparu. Fin août, une opération internationale coordonnée par le FBI et Europol (E3C), les agences de sécurité américaine et européenne, aboutissait à l’arrestation du Moldave Andreï Ghinkul, dit «Smilex», principal administrateur du virus. On pensait le virus totalement disparu. le 1er octobre, une nouvelle activité de Dridex est détectée au Royaume-Uni, puis le 14 octobre, selon les experts. Et effectivement, en France, le CERT-FR avertit le 23 octobre qu’une soixantaine de vagues d’envois massifs d’e-mails piégés visant la France ont eu lieu en moins de quinze jours. Une nouvelle technique d’assemblage du code dite « just-in-time « (ou à la volée) permet aux pirates d’éviter les détections, mais aussi d’adapter plus rapidement le malware Ecrits dans un français très correct et sans faute d’orthographe, ces textes courts, et suffisamment sibyllins pour inquiéter ceux qui les reçoivent, ont déjà fait l’objet d’une première alerte officielle émanant du CERT-FR. Comment s’en débarrasser ? Une société française de sécurité (Lexsi) propose un simple outil de détection permettant tout à la fois de vérifier sa présence sur un ordinateur puis de l’éradiquer complètement. Il est également possible, de nettoyer manuellement son ordinateur. https://goo.gl/Kg5Vz0 Comment fonctionne t-il ? Analyse de cette attaque par le G DATA SecurityLabs: Infection en 4 étapes Le mail reçu se présente de façon anodine, l’attaque commence par un spam en français. Le contenu de l’email évoque une facture ou une commande soi-disant effectuée. En pièce jointe se trouve le document en question : un document Microsoft Office. Si le destinataire tente d’ouvrir le document Word joint le logiciel de Microsoft va demander à l’utilisateur s’il veut activer les macros (pour interpréter les codes éventuellement contenus dans le document). Deuxième phase : si le destinataire tente d’ouvrir le document Word joint, une page vierge s’affiche, et le logiciel de Microsoft va interpréter les codes contenus dans le document Office. le virus et activé va lancer le téléchargement discret d’un premier code malicieux. La troisième étape consiste donc à charger ce code malveillant (le Payload), un VBS (Visual Basic Script) qui va alors télécharger un exécutable, l’installer dans %APPDATA% et l’exécuter. Il ne reste plus au pirate qu’à décider quand et quel programme utiliser et installer pour récupérer les données personnelles et bancaires puis effectuer des opérations frauduleuses. Quatrième étape : le téléchargement du downloader, lui-même dédié au téléchargement du code malveillant final. Dans les cas analysés durant les derniers jours, le code téléchargé est le trojan bancaire Dridex. Mais en fonction du bon vouloir de l’attaquant, le downloader peut être commandé afin de télécharger un autre programme malveillant. Ainsi, dans plusieurs autres emails en français détectés ces derniers jours, certains downloaders ne téléchargeaient aucun code, mais étaient en attente. «Nous relayons l’alerte de l’agence de sécurité française ANSII et l’analyse effectuée par l’éditeur G Data dans son laboratoire. Des centaines d’entreprises ont déjà été abusées et les versements bancaires frauduleux sont très importants, ils portent désormais sur plusieurs millions d’euros. Cette attaque de forte ampleur a fait l’objet d’une alerte de la part de l’ANSSI, (lire ci-dessous) :» Le CERT-FR alerte sur des pourriels qui se diffusent depuis une semaine en dépit des filtres antispam : attention aux macros malveillantes qu’ils diffusent ! Ces pourriels sont d’autant plus dangereux qu’ils contiennent des documents Microsoft Office contenant des macros VBA malveillantes. Ces pourriels sont très souvent rédigés dans un français sans faute, la tournure n’attire dons pas spécifiquement l’attention. Le sujet et le contenu du pourriel mentionnent des problèmes de facturation, dans la plupart des cas pour inciter le destinataire à ouvrir la pièce jointe. Afin de se protéger contre ce type de menace, les conseils habituels sont rappelés : - Ne pas ouvrir les documents ou les pièces jointes non sollicités ; - Désactiver l’exécution automatique des macros dans les suites bureautiques ; - Maintenir le système d’exploitation et l’antivirus à jour. - Le bulletin d’actualité du CERT-FR détaille les formats de documents et techniques utilisées ainsi que les parades à mettre en place. En savoir plus Consulter les bulletins d’actualité sur le site du CERTFR, le bulletin du 15 juin à : http://www.cert.ssi.gouv.fr/ site/CERTFR-2015-ACT-024/index.html VBA : Visual Basic for Application est une implémentation de Microsoft Visual Basic intégrée dans l’ensemble des applications de Microsoft Office. pourriels : mails contenants des virus informatiques CERT-FR : le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques. www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-012/ index.html www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-024/ index.html