Phishing : une menace internationale, quelle que soit la langue – Ismet Geri, Directeur de Proofpoint France et Europe du Sud

Les chercheurs Proofpoint ont récemment découvert une campagne de phishing de faible volume visant les entreprises en France et en Allemagne. Il s’agit d’un exemple très intéressant de campagne couvrant plusieurs langues et plusieurs pays. Elle démontre notamment le rôle que peut jouer la langue en tant que variable supplémentaire, susceptible d’être exploitée par les pirates afin d’échapper aux dispositifs de sécurité mis en place par les organisations.

Pas moins de douze documents Microsoft Word différents joints à des courriers électroniques ont été identifiés dans cette campagne, lancée de façon cyclique avec plusieurs expéditeurs et divers titres dans le but de créer une campagne de phishing de masse classique et de permettre aux pirates de contourner les obstacles définis sur la base de la réputation. L’analyse automatisée des pièces jointes a révélé que les documents comportaient une macro malveillante (un virus VBA), qui télécharge et installe le logiciel malveillant Andromeda (connu également sous le nom Gamarue). L’obfuscation du code de la macro et de la charge Andromeda a permis aux pirates d’échapper à un grand nombre d’antivirus : lors de l’analyse des pièces jointes par Proofpoint, à peine 10 % des moteurs antivirus ont en effet été en mesure de les détecter et seuls 5 % d’entre eux ont pu identifier la charge Andromeda.

La campagne comprenait des modèles de courriers électroniques en français et en allemand, ainsi qu’une grande variété d’appâts, d’objets et de messages. Par exemple, l’un des courriers électroniques français invitait les destinataires à prendre connaissance d’un nouvel accord de licence et à y répondre :

Un autre, rédigé en allemand cette fois-ci, comprenait une facture et exigeait son paiement d’ici le 1er janvier.

Un autre encore, toujours en allemand, exploitant un modèle de type « Réponse du service technique » et semblant provenir d’un fournisseur d’accès allemand très connu, demandait aux utilisateurs de consulter les nouvelles informations et d’envoyer leur réponse dans les 48 heures.

Au mois de septembre, nous avions constaté que les URL figurant dans des courriers électroniques non sollicités, envoyés à des destinataires en France et en Allemagne, étaient moins susceptibles de contenir des éléments malveillants que celles intégrées dans des courriers électroniques envoyés aux États-Unis et au Royaume-Uni. Les nouvelles campagnes de phishing exploitent la flexibilité des URL et la possibilité de les rendre malveillantes après la réception des messages pour échapper régulièrement à la vigilance des bases de données de réputation des URL les plus à jour. En s’appuyant sur des pièces jointes plutôt que sur des URL malveillantes pour diffuser la charge, cette campagne démontre que les sociétés implantées en France et en Allemagne auraient tort de penser qu’elles sont moins vulnérables que leurs homologues américaines ou britanniques.

Ces trois exemples de courriers, issus d’une seule et même campagne, attestent de la capacité des nouvelles campagnes de phishing de masse à utiliser plusieurs noms de pièces jointes, appâts, objets et adresses d’expédition pour contourner efficacement les systèmes de défense basés sur la réputation et les signatures. Les pièces jointes au format Word cachaient une macro Word conçue pour contourner les systèmes de détection. Avec pas moins de douze pièces jointes différentes dans une campagne de masse de volume relativement faible, il était quasiment impossible qu’elles soient détectées par les antivirus et les systèmes de vérification de la réputation, et qu’elles ne soient pas autorisées à franchir la passerelle anti-spam la plus puissante. Qu’il s’agisse d’URL ou de pièce jointe, dans les deux cas, cet exemple illustre parfaitement pourquoi les organisations doivent absolument équiper leur passerelle anti-spam existante de fonctionnalités de détection avancées : même les meilleurs systèmes de protection traditionnels finissent par laisser passer certaines menaces.

Il suffit d’ajouter à cette combinaison une variable linguistique et de laisser croire dans un grand nombre de régions d’Europe continentale que les menaces les plus évoluées concernent principalement les pays et les organisations anglophones pour se retrouver face à une infection généralisée : tel est bien le problème, quel que soit le nom que l’on veut bien lui donner.

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?