Des e-mails Black Lives Matter diffusent le malware TrickBot

Les cybercriminels utilisent le mouvement anti-raciste Black Lives Matter pour distribuer le logiciel malveillant TrickBot via des e-mails d’hameçonnage.

Selon la société de sécurité Suisse Abuse.ch, les pirates informatiques se font passer pour des responsables gouvernementaux, dans le but d’inciter les victimes à cliquer sur une pièce jointe malveillante dans un e-mail. Les messages utilisent un objet qui est grammaticalement erronée, «Vote anonymous about Black Lives Matter» ou «Leave a review confidentially about Black Lives Matter», et prétendent contenir un document d’enquête.

Abuse.ch a lancé l’alerte sur son compte Twitter.

Selon des exemples de documents de campagne (obtenus pour la première fois par Bleeping Computer), la pièce jointe, si elle est ouverte, fait apparaître un bouton invitant les destinataires à «Activer la modification» ou «Activer le contenu». Si vous cliquez dessus, le bouton active les macros malveillantes qui téléchargent à leur tour TrickBot, sous la forme d’une bibliothèque malveillante (fichier .DLL).

black lives matter

TrickBot est une souche de malware en évolution rapide qui existe depuis 2016 et qui a débuté en tant que cheval de Troie bancaire. Au fil du temps, il a progressivement étendu ses fonctions pour inclure la collecte des informations d’identification à partir des e-mails, des navigateurs et des applications réseau installées d’une victime. Le malware a également évolué pour ajouter plus de modules et servir de véhicule de livraison pour d’autres logiciels malveillants.

Par exemple, plus tôt ce mois-ci, une nouvelle porte dérobée furtive que les chercheurs appellent «BazarBackdoor» a été ajoutée à l’arsenal de TrickBot et en Janvier, les chercheurs ont découvert que les opérateurs du logiciel malveillant utilisaient «PowerTrick», une porte dérobée qui a aidé le logiciel malveillant à effectuer la reconnaissance des institutions financières ciblées et à récupérer d’autres portes dérobées.

Les cybercriminels à la recherche d’argent facile s’accrochent souvent aux mouvements populaires, aux événements politiques ou aux événements sportifs afin de monétiser l’intérêt des gens pour un sujet donné. Cela se produit continuellement avec le Super Bowl et la Coupe du Monde. Plus récemment, des escrocs ont utilisé plusieurs leurres sur le thème du COVID-19 pour piquer l’intérêt des destinataires des e-mails. Quelque soit la gravité du sujet, il sera exploité par ce genre de cybercriminels.

black lives matter

Plusieurs campagnes d’hameçonnage utilisent Black Lives Matter

La campagne sur le thème Black Live Matters signalée par Abuse_ch n’est pas seule. Alexandre Francois, responsable du contenu du fournisseur de renseignements sur les cybermenaces whoisxmlapi.com, a déclaré que la société a commencé à détecter un nombre croissant de noms de domaine nouvellement enregistrés qui incluent les chaînes de mots «blacklives» et «georgefloyd» – comme par exemple blacklivematterfund[.]com et thegeorgefloydfundation[.]net.

Récemment, whoisxmlapi.com a trouvé en moyenne 49 nouveaux enregistrements de domaine contenant des chaîne de mots similaires chaque jour. Beaucoup sont probablement légitimes et beaucoup ne le sont probablement pas.

“D’après notre expérience, ce type de nom de domaine pourrait être utilisé de manière convaincante comme piège d’hameçonnage où les victimes sont amenées à envoyer de l’argent à un faux fonds ou à une fondation”, a déclaré François.

En général, les entreprises et les utilisateurs finaux doivent être conscients de ce type de campagne, ont noté les chercheurs. Ce genre de campagne présente souvent des signaux d’alarme, tels que le nom de l’expéditeur qui sonne faux («Country Administration» ).

“La dernière campagne de distribution de TrickBot met en évidence la nécessité pour les organisations de se défendre contre les attaques d’hameçonnage”, selon un article publié par Tripwire. «L’une des façons dont ils peuvent y parvenir est d’éduquer leurs employés sur certains types de campagnes d’hameçonnage les plus courants qui sont en circulation aujourd’hui.»

Si cet article vous a plu, jetez un œil à notre article précédent.