Les chercheurs Proofpoint ont récemment découvert une campagne de phishing de faible volume visant les entreprises en France et en Allemagne. Il s'agit d'un exemple très intéressant de campagne couvrant plusieurs langues et plusieurs pays. Elle démontre notamment le rôle que peut jouer la langue en tant que variable supplémentaire, susceptible d'être exploitée par les pirates afin d'échapper aux dispositifs de sécurité mis en place par les organisations.

Pas moins de douze documents Microsoft Word différents joints à des courriers électroniques ont été identifiés dans cette campagne, lancée de façon cyclique avec plusieurs expéditeurs et divers titres dans le but de créer une campagne de phishing de masse classique et de permettre aux pirates de contourner les obstacles définis sur la base de la réputation.

L'analyse automatisée des pièces jointes a révélé que les documents comportaient une macro malveillante (un virus VBA), qui télécharge et installe le logiciel malveillant Andromeda (connu également sous le nom Gamarue).

L'obfuscation du code de la macro et de la charge Andromeda a permis aux pirates d'échapper à un grand nombre d'antivirus : lors de l'analyse des pièces jointes par Proofpoint, à peine 10 % des moteurs antivirus ont en effet été en mesure de les détecter et seuls 5 % d'entre eux ont pu identifier la charge Andromeda.

La campagne comprenait des modèles de courriers électroniques en français et en allemand, ainsi qu'une grande variété d'appâts, d'objets et de messages. Par exemple, l'un des courriers électroniques français invitait les destinataires à prendre connaissance d'un nouvel accord de licence et à y répondre :

Un autre, rédigé en allemand cette fois-ci, comprenait une facture et exigeait son paiement d'ici le 1er janvier.

Un autre encore, toujours en allemand, exploitant un modèle de type « Réponse du service technique » et semblant provenir d'un fournisseur d'accès allemand très connu, demandait aux utilisateurs de consulter les nouvelles informations et d'envoyer leur réponse dans les 48 heures.

Au mois de septembre, nous avions constaté que les URL figurant dans des courriers électroniques non sollicités, envoyés à des destinataires en France et en Allemagne, étaient moins susceptibles de contenir des éléments malveillants que celles intégrées dans des courriers électroniques envoyés aux États-Unis et au Royaume-Uni.

Les nouvelles campagnes de phishing exploitent la flexibilité des URL et la possibilité de les rendre malveillantes après la réception des messages pour échapper régulièrement à la vigilance des bases de données de réputation des URL les plus à jour.

En s'appuyant sur des pièces jointes plutôt que sur des URL malveillantes pour diffuser la charge, cette campagne démontre que les sociétés implantées en France et en Allemagne auraient tort de penser qu'elles sont moins vulnérables que leurs homologues américaines ou britanniques.

Ces trois exemples de courriers, issus d'une seule et même campagne, attestent de la capacité des nouvelles campagnes de phishing de masse à utiliser plusieurs noms de pièces jointes, appâts, objets et adresses d'expédition pour contourner efficacement les systèmes de défense basés sur la réputation et les signatures.

Les pièces jointes au format Word cachaient une macro Word conçue pour contourner les systèmes de détection. Avec pas moins de douze pièces jointes différentes dans une campagne de masse de volume relativement faible, il était quasiment impossible qu'elles soient détectées par les antivirus et les systèmes de vérification de la réputation, et qu'elles ne soient pas autorisées à franchir la passerelle anti-spam la plus puissante.

Qu'il s'agisse d'URL ou de pièce jointe, dans les deux cas, cet exemple illustre parfaitement pourquoi les organisations doivent absolument équiper leur passerelle anti-spam existante de fonctionnalités de détection avancées : même les meilleurs systèmes de protection traditionnels finissent par laisser passer certaines menaces.

Il suffit d'ajouter à cette combinaison une variable linguistique et de laisser croire dans un grand nombre de régions d'Europe continentale que les menaces les plus évoluées concernent principalement les pays et les organisations anglophones pour se retrouver face à une infection généralisée : tel est bien le problème, quel que soit le nom que l'on veut bien lui donner, affirme Ismet Geri, Directeur de Proofpoint France et Europe du Sud.