Des spammeurs se font passer pour l 'administration fiscale britannique

Il y a quelques mois, j 'écrivais une alerte informant d 'une offensive malveillante ciblant les contribuables américains à qui l 'on demandait de retourner par e-mail leur précédente déclaration de revenus. La date butoir approchant pour les déclarations d 'impôt sur le revenu et de régime de prévoyance au Royaume-Uni, il semble que ce procédé de diffusion de malwares ait tout simplement traversé l 'océan et menace désormais les sujets de Sa Majesté non avertis.  

Le message non sollicité envoyé aux utilisateurs leur demandant de revoir leur déclaration de revenus incorrecte est identique à celui utilisé précédemment pour tromper les contribuables américains, comme le montre la copie d 'écran ci-dessous :

Le lien censé être personnalisé ne conduit pas vers le site Internet de l 'administration fiscale britannique (Her Majesty Revenue & Customs) mais vers une page Web (avec un domaine en .tv correspondant aux Iles Tuvalu) imitant un emplacement de téléchargement personnalisé, et reprenant plusieurs éléments d 'identification visuelle du véritable site de l 'administration fiscale (enregistré sur le domaine gov.uk) comme son logo, son en-tête et des éléments de mise en forme.  

La page fournit également un lien censé conduire à la déclaration d 'impôts que l 'utilisateur doit télécharger et exécuter. Mais après avoir cliqué dessus, l 'utilisateur ne reçoit pas de formulaire électronique mais un ” cocktail ” de charges utiles malveillantes, utilisé précédemment cette semaine dans une autre campagne de diffusion de malwares exploitant le nom de Microsoft® Office® Outlook Web Access.

Trojan.SWF.Dropper.E et Exploit.HTML.Agent.AM sont les stars incontestées cette semaine. Cela pourrait également expliquer pourquoi les taux d 'infection de ces deux malwares sont montés en flèche .

Trojan.SWF.Dropper.E est le nom générique d 'une famille de chevaux de Troie au comportement similaire : il s 'agit de fichiers Flash qui n 'affichent habituellement aucune animation/image particulière mais déposent et exécutent plusieurs fichiers malveillants (en exploitant la vulnérabilité Shockwave Flash de logiciels Adobe). Les fichiers déposés sont susceptibles d 'évoluer (différentes variantes peuvent déposer et exécuter différents programmes malveillants). Les pays les plus touchés entre le 1er et le 13 janvier sont les suivants : les états-Unis (13%), l 'Espagne (11%), la France et la Roumanie (avec 9% chacun), le Canada (5%), le Royaume-Uni, l 'Australie, l 'Allemagne et la Thaïlande (avec 3% chacun).

Exploit.HTML.Agent.AM utilise des vulnérabilités permettant d 'exécuter arbitrairement du code en chargeant un objet flash spécialement construit dans une page Web. Une fois qu 'une page Web infectée est ouverte, le cheval de Troie crée un objet SWF spécialement conçu permettant l 'exécution d 'une charge utile (le fichier téléchargé a été détecté sous le nom de Trojan.Spy.ZBot.EKG).

Pour protéger vos systèmes et données et éviter de devenir victime des arnaques en ligne sur les impôts, suivez les dix conseils de sécurité ci-dessous :
?    Installez et activez une solution pare-feu et antimalware fiable ainsi qu 'un filtre antispam comme ceux proposés par BitDefender.
?    Mettez à jour votre antimalware, votre pare-feu et votre filtre antispam aussi souvent que possible avec les dernières définitions de virus et signatures de fichiers et d 'applications suspectes
?    Analysez votre système fréquemment.
?    Vérifiez régulièrement votre système d 'exploitation : téléchargez et installez  les dernières mises à jour de sécurité et les outils permettant de supprimer des malwares, ainsi que les autres patches et fixes disponibles.  
?    N 'ouvrez pas les e-mails et les pièces jointes provenant d 'expéditeurs inconnus, surtout s 'ils ont pour objet les impôts.
?    Ne répondez pas aux e-mails vous demandant des informations personnelles (telles que votre nom d 'utilisateur et mot de passe, votre numéro de sécurité sociale, vos numéros de comptes ou cartes bancaires) même s 'ils affirment provenir d 'organismes liés aux impôts. Ces organismes n 'envoient généralement pas d 'e-mails généraux (adressés à l 'ensemble des contribuables) mais des formulaires imprimés personnalisés (indiquant vos nom et prénom ainsi que d 'autres éléments permettant de vous identifier) via un service postal. En cas de doute au sujet d 'un e-mail supposé être envoyé par l 'un de  ces organismes, contactez-les immédiatement.
?    Ne cliquez pas sur les liens contenus dans des e-mails de spam, même sur ceux censés vous permettre de vous ” désinscrire ” : vous pourriez recevoir d 'autres malwares et compromettre la sécurité de votre système.
?    Lorsque vous transmettez des données sensibles en ligne, assurez-vous que le site Web destinataire utilise le cryptage SSL (Secure Socket Layer) et des méthodes d 'authentification sécurisées : vérifiez la présence du préfixe ” https ” et du cadenas verrouillé.
?    Si l 'on vous demande d 'accepter un certificat pour la session, vérifiez que le nom du certificat correspond au nom de l 'institution avec laquelle vous souhaitez traiter et que le certificat est signé par une Autorité de Certification reconnue comme ThawteTM ou VeriSign® avant de l 'accepter.
?    En cas de doute, n 'hésitez pas à contacter les autorités suivantes :  
?    l 'administration fiscale
?    l 'unité chargée de la lutte contre la cybercriminalité
?    l 'agence de répression de la grande criminalité organisée