Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets
Arlo

Sécurité : Phishing : une menace internationale, quelle que soit la langue
Posté par JulieM le 8/12/2014 13:00:00 Articles du même auteur

Les chercheurs Proofpoint ont récemment découvert une campagne de phishing de faible volume visant les entreprises en France et en Allemagne. Il s'agit d'un exemple très intéressant de campagne couvrant plusieurs langues et plusieurs pays. Elle démontre notamment le rôle que peut jouer la langue en tant que variable supplémentaire, susceptible d'être exploitée par les pirates afin d'échapper aux dispositifs de sécurité mis en place par les organisations.

Pas moins de douze documents Microsoft Word différents joints à des courriers électroniques ont été identifiés dans cette campagne, lancée de façon cyclique avec plusieurs expéditeurs et divers titres dans le but de créer une campagne de phishing de masse classique et de permettre aux pirates de contourner les obstacles définis sur la base de la réputation.

L'analyse automatisée des pièces jointes a révélé que les documents comportaient une macro malveillante (un virus VBA), qui télécharge et installe le logiciel malveillant Andromeda (connu également sous le nom Gamarue).

L'obfuscation du code de la macro et de la charge Andromeda a permis aux pirates d'échapper à un grand nombre d'antivirus : lors de l'analyse des pièces jointes par Proofpoint, à peine 10 % des moteurs antivirus ont en effet été en mesure de les détecter et seuls 5 % d'entre eux ont pu identifier la charge Andromeda.

La campagne comprenait des modèles de courriers électroniques en français et en allemand, ainsi qu'une grande variété d'appâts, d'objets et de messages. Par exemple, l'un des courriers électroniques français invitait les destinataires à prendre connaissance d'un nouvel accord de licence et à y répondre :

Un autre, rédigé en allemand cette fois-ci, comprenait une facture et exigeait son paiement d'ici le 1er janvier.

Un autre encore, toujours en allemand, exploitant un modèle de type « Réponse du service technique » et semblant provenir d'un fournisseur d'accès allemand très connu, demandait aux utilisateurs de consulter les nouvelles informations et d'envoyer leur réponse dans les 48 heures.

Au mois de septembre, nous avions constaté que les URL figurant dans des courriers électroniques non sollicités, envoyés à des destinataires en France et en Allemagne, étaient moins susceptibles de contenir des éléments malveillants que celles intégrées dans des courriers électroniques envoyés aux États-Unis et au Royaume-Uni.

 

Les nouvelles campagnes de phishing exploitent la flexibilité des URL et la possibilité de les rendre malveillantes après la réception des messages pour échapper régulièrement à la vigilance des bases de données de réputation des URL les plus à jour.

En s'appuyant sur des pièces jointes plutôt que sur des URL malveillantes pour diffuser la charge, cette campagne démontre que les sociétés implantées en France et en Allemagne auraient tort de penser qu'elles sont moins vulnérables que leurs homologues américaines ou britanniques.

Ces trois exemples de courriers, issus d'une seule et même campagne, attestent de la capacité des nouvelles campagnes de phishing de masse à utiliser plusieurs noms de pièces jointes, appâts, objets et adresses d'expédition pour contourner efficacement les systèmes de défense basés sur la réputation et les signatures.

Les pièces jointes au format Word cachaient une macro Word conçue pour contourner les systèmes de détection. Avec pas moins de douze pièces jointes différentes dans une campagne de masse de volume relativement faible, il était quasiment impossible qu'elles soient détectées par les antivirus et les systèmes de vérification de la réputation, et qu'elles ne soient pas autorisées à franchir la passerelle anti-spam la plus puissante.

Qu'il s'agisse d'URL ou de pièce jointe, dans les deux cas, cet exemple illustre parfaitement pourquoi les organisations doivent absolument équiper leur passerelle anti-spam existante de fonctionnalités de détection avancées : même les meilleurs systèmes de protection traditionnels finissent par laisser passer certaines menaces.

Il suffit d'ajouter à cette combinaison une variable linguistique et de laisser croire dans un grand nombre de régions d'Europe continentale que les menaces les plus évoluées concernent principalement les pays et les organisations anglophones pour se retrouver face à une infection généralisée : tel est bien le problème, quel que soit le nom que l'on veut bien lui donner, affirme Ismet Geri, Directeur de Proofpoint France et Europe du Sud.

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



Bitdefender

Pocketalk
Arlo





© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité