Faisant suite aux différentes utilisations opportunistes du contexte COVID-19 à des fins malveillantes, nous vous proposons ici un premier panorama des attaques observées et relayées par la presse.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
I. Attaques étatiques
Dans un premier temps, des groupes étatiques profitent du climat de chaos mondial afin de lancer des attaques ciblées sur des gouvernements :
- Une vague de spam a été observée en Ukraine et a été amplifiée par de fausses rumeurs sur l’arrivée du COVID-19 dans le pays, menant à des mouvements de panique. C’est dans ce contexte de désordre que les groupes d’attaquants ont utilisé des documents malveillants envoyés par mail afin de mener à bien leur attaque.
- Un groupe nord-coréen a lancé une attaque ciblée contre le gouvernement sud-coréen en injectant un malware dans des documents officiels traitant de l’épidémie. Le groupe a été identifié, car il utilisait le même malware que dans une précédente attaque ciblant la même entité.
- Des chercheurs ont étudié une attaque menée contre le gouvernement mongol utilisant des documents RTF malveillants dans le but de prendre le contrôle des machines compromises. D’après les chercheurs, cette attaque proviendrait d’un groupe d’attaquants étatique (supposé chinois) et ressemblerait à d’autres attaques observées dans le passé.
- Un groupe chinois ayant usurpé l’identité du Premier ministre vietnamien a partagé un mail contenant des consignes à respecter en pièce jointe. Cette pièce jointe, au format RAR, contenait un cheval de Troie permettant de prendre le contrôle à distance des machines compromises.
- Un groupe d’attaquant étatique, supposé pakistanais, a lancé une attaque ciblée contre le gouvernement indien. Les attaquants se sont fait passer pour le gouvernement indien et, avec une technique de spear-phishing, ont envoyé un document malveillant permettant de prendre le contrôle à distance de la machine compromise.
Source: blog.malwarebytes.com
II. Attaques ciblant les entreprises et les administrations
D’autres attaques, suivant le même schéma et ciblant des entreprises et services publics ont également été répertoriées :
- Un nouveau logiciel malveillant opérant en tant que porte dérobée, baptisé BlackWater vient d’apparaître. Ce logiciel, se faisant passer pour une série d’information sur COVID-19, se sert des Cloudfare Workers (CW) comme d’une interface pour le serveur C&C (Command & Control) du malware. Il est transmis via des campagnes de phishing.
- Des emails professionnels ont également été compromis (via des attaques de « credential stuffing », pratique consistant à réutiliser des couples d’identifiants/mot de passe sur de multiples interfaces de connexion) pour utiliser la pandémie afin de voler de l’argent à des entreprises. Ainsi, des attaquants, en se faisant passer pour un membre du comité exécutif, avaient pu demander un changement de banque dans l’espoir de voler des fonds.
- L’hôpital de Brno en République tchèque a également été la cible d’une cyberattaque. Cet incident a forcé l’hôpital à déconnecter l’ensemble de son réseau informatique, à reporter toutes les interventions chirurgicales et à rediriger les nouveaux patients vers d’autres hôpitaux ;
- Enfin, des campagnes de phishing ciblant particulièrement le personnel hospitalier sont en cours et ont été observées au Royaume-Uni.
III. Attaques massives ciblant les particuliers
Les particuliers sont également ciblés par les attaquants, et doivent redoubler de vigilance :
- Certains sites partagent de fausses attestations dans le but de dérober des informations personnelles. D’autres mettent ces attestations en vente et jusqu’à 100€ pour un passe-droit prétendu illimité.
- Les campagnes de spams automatiques s’adaptent à l’actualité et utilisent la pandémie pour infecter les utilisateurs. Des chercheurs ont remarqué qu’à peine 24h après le début de l’infection dans un pays, des campagnes de spams malveillantes ont eu lieu à grande échelle. Les chercheurs rassurent cependant en disant que même si l’objet du mail ou les mots-clés utilisés changent, les virus utilisés et les techniques d’attaques restent similaires.
- Des chercheurs ont montré que beaucoup de noms de domaine suspects liés au COVID-19 ont été enregistrés au cours des dernières semaines. Pour la majorité d’entre eux, ils sont utilisés afin de mener à bien des campagnes de phishing.
- Avec la forte augmentation d’enregistrement de noms de domaine liés au COVID-19, de nombreux sites d’arnaques apparaissent. Ceux-ci profitent du contexte et de la pénurie de certaines ressources (masques, gels hydroalcooliques…) afin de piéger les consommateurs et ainsi récupérer leurs informations bancaires. Les attaquants peuvent aussi utiliser ces sites afin de désinformer et créer des mouvements de panique.
- Un nouveau ransomware, nommé CoronaVirus, a été identifié. Afin de le propager, l’attaquant utilise un site nommé WiseCleaner qui fait référence directement à un utilitaire Windows afin de piéger l’utilisateur. Une fois installé, le virus va récupérer toutes les informations personnelles de l’utilisateur avant de chiffrer tous les fichiers de l’utilisateur et de bloquer la machine.
- Le gouvernement iranien a mis en place une application mobile afin d’aider la population à diagnostiquer la présence du virus dans leur organisme. Des chercheurs ont montré que cette application était aussi utilisée pour récupérer en temps réel la localisation des utilisateurs.
- D’autres études ont été menées sur un logiciel permettant le suivi de la pandémie en temps réel et ont révélé que celui-ci était en réalité utilisé afin de voler des informations personnelles d’utilisateurs en infectant leur machine.
Source : blog.reasonsecurity.com
Cybermalveillance.gouv.fr, la plateforme française officielle dédiée à la prévention des risques cyber, a publié un article afin de sensibiliser la population. Cet article référence les attaques et les pièges liés à la crise du COVID-19.
- Méfiez-vous des messages (mail, SMS, chat…) ou appels téléphoniques d’origine inconnue ;
- Ne cliquez pas sur les liens, n’ouvrez pas les pièces jointes et en cas de doute, confirmez leur origine en contactant directement l’organisme qui prétend vous l’avoir envoyé ;
- Ne téléchargez vos applications que depuis les sites ou magasins officiels ;
- Vérifier la réputation des sites que vous visitez ;
- Soyez vigilants aux fausses informations ;
- Ne relayez pas d’information que vous n’avez pas pu vérifier vous-même depuis une source officielle ;
- Méfiez-vous des appels aux dons frauduleux ;
- Et plus spécifiquement pour les professionnels, soyez attentifs aux fausses commandes ou aux modifications de virements bancaires.
Et de manière générale, en cas de doute, abstenez-vous !
Références
- Vicious Panda: The COVID Campaign
- COVID-19, Info Stealer & the Map of Threats – Threat Analysis Report
- BlackWater Malware Abuses Cloudflare Workers for C2 Communication
- State-sponsored hackers are now using coronavirus lures to infect their targets
- Coronavirus email attacks evolving as outbreak spreads
- Capitalizing on Coronavirus Panic, Threat Actors Target Victims Worldwide
- Ancient Tortoise BEC Scammers Launch Coronavirus-Themed Attack
- How cybercriminals are taking advantage of COVID-19: Scams, fraud, and misinformation
- New CoronaVirus Ransomware Acts as Cover for Kpot Infostealer
- AC19 : l’application pour “contrôler” l’épidémie de Covid-19 en Iran
- CORONAVIRUS / COVID-19 : Appel au renforcement des mesures de vigilance cybersécurité
- APT36 jumps on the coronavirus bandwagon, delivers Crimson RAT
- Fausse attestation, achat de masque, infox… : faites attention aux arnaques liées au coronavirus
- Non, l’attestation de déplacement dérogatoire ne coûte pas 5, 10 ou 100€