Le coronavirus est utilisé pour répandre le virus Emotet

Certains individus mal intentionnés ont décidé d’utiliser la panique autour du coronavirus pour répandre le malware Emotet, selon les observations de IBM X-Force et Kaspersky.

Dans une campagne observée par IBM X-Force, des e-mails prétendent contenir des informations sur les mesures de prévention contre le coronavirus sous forme de fichier joint. Dans ces fichiers joints on retrouve le cheval de Troie Emotet.

La plupart de ces e-mails semblent être écrit en Japonais, ce qui suggère que les cybercriminels ciblent les régions géographiques qui ont un risque plus élevé de contamination à cause de leur proximité avec la Chine. L’objet des e-mails contient la date actuelle et le mot “notification” en Japonais.

“Les e-mails font croire qu’ils sont envoyés par un fournisseur de services d’aide sociale au Japon,” selon un rapport d’IBM X-Force. “Le texte déclare brièvement qu’il y’a eu des signalements de personnes infectées par le coronavirus dans la préfecture de Gifu au Japon et demande au lecteur de jeter un œil au fichier joint.”

D’autres versions ont le même langage mais parlent de signalements dans plusieurs préfectures Japonaises, incluant Osaka et Tottori. Les e-mails ont aussi un footer (bas de page) contenant une adresse e-mail, un numéro de téléphone et de fax appartenant aux autorité de santé publique compétente des préfectures ciblées, pour donner un air d’authenticité.

“Précédemment, les e-mails Emotet japonais se faisaient passé pour des entreprises et utilisaient de fausses notifications et factures de paiement, suivant une stratégie similaire à celle utilisée pour cibler les victimes Européennes,” a déclaré la firme. “Cette nouvelle approche pour répandre Emotet pourrait s’avérer être plus efficace, à cause de l’énorme impact du coronavirus et la crainte d’être infecté.”

coronavirus

Mise à part le leurre utilisé, cette nouvelle campagne d’infection d’Emotet est assez banale selon les chercheurs.

Quand le fichier joint est ouvert, on voit apparaître un message d’Office 365 qui demande à l’utilisateur “d’activer le contenu” si le document a été ouvert en mode protégé, selon l’analyse d’IBM X-Force. Comme pour la plupart des attaques d’Emotet, si le fichier joint est ouvert et que les macros sont activées, un script offusqué de macro VBA ouvre PowerShell et installe un downloader d’Emotet en arrière-plan.

“Les macros extraites utilisent la même technique d’offuscation que les autres e-mails d’Emotet qui ont été observé ces dernières semaines,” ont déclaré les analystes d’IBM X-Force.

Il n’y a pas qu’Emotet qui cherche à utiliser la peur du Coronavirus pour se répandre. Kaspersky a remarqué plusieurs campagnes de spam au cours des dernières semaines qui ont des fichiers joints sur le thème du coronavirus.

“Les fichiers malveillants étaient des fichiers .PDF, .MP4, .DOC à propos du coronavirus,” ont révélé les chercheurs dans leur analyse. “Le nom des fichiers laissaient entendre qu’ils contenaient des instructions vidéos expliquant comment se protéger de la maladie, ainsi que des nouvelles informations sur la menace et même des procédures de détection de la maladie.”

Les fichiers contiennent une panoplie de menaces, y compris des chevaux de Troie et des vers informatiques qui sont capables de détruire, bloquer, modifier ou copier des données, et interférer avec les opérations des ordinateurs ou des réseaux,” selon la firme. Pour le moment, 10 différents documents ont été aperçu en circulation.

IBM X-Force pense que les opérateurs d’Emotet cibleront bien plus de pays que le Japon.

“Nous nous préparons à voir plus de trafic d’e-mails basé sur le coronavirus dans le futur,” ont déclaré les chercheurs d’IBM X-Force. “Ils incluront probablement d’autres langues en fonction de l’impact du coronavirus. Dans ces premiers exemples, les victimes Japonaises ont probablement été ciblé à cause de la proximité géographique entre la Chine et le Japon.”

Pas la première fois qu’un événement comme le Coronavirus est exploité

Ce n’est pas la première fois que des cybercriminels essayent d’utiliser des événements courants à leur avantage. Il y’a des campagnes d’infection lors de la Coupe du Monde de Football tout les 4 ans. Plus récemment, Emotet lui-même est apparu dans une campagne de spam en décembre qui a utilisé Greta Thunberg, militante du changement climatique et personnalité de l’année, comme un leurre. La copie contenue dans l’e-mail comprenait quelques thèmes différents, y compris la nomination de Thunberg par le magazine Time, les vacances de Noël, et la sensibilisation à l’environnement et l’activisme en général.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x