Des spammeurs se font passer pour l 'IRS américain

Le 15 septembre, les contribuables américains ont dû transmettre leur déclaration de revenus pour l 'année 2008, ce qui n 'a pas échappé à certains cybercriminels : ils en ont profité pour lancer une nouvelle offensive malveillante avec une vague de spam. Le message de spam envoyé aux contribuables leur demande de revoir leur déclaration de revenus non communiquée ou incorrecte, et leur indique un faux lien personnalisé vers le site Internet de l 'IRS (Internal Revenue Service, l 'administration fiscale américaine).

Le lien ne conduit pas vers le portail de l 'agence du gouvernement, mais vers une page Web (enregistrée sur un domaine .eu) qui imite un formulaire en ligne, en utilisant plusieurs éléments d 'identification visuelle du véritable site Web de l 'IRS (c 'est-à-dire son logo et des éléments généraux de mise en forme).

La page indique un lien vers un document à télécharger et exécuter. Mais lorsque l 'utilisateur clique dessus, il ne télécharge pas un formulaire, et reçoit à la place une charge utile malveillante que Bitdefender détecte sous le nom de ” Trojan.Generic.2436384 “, une autre version du tristement célèbre ZBot.

Ce cheval de Troie a des composants rootkit qui lui permettent de s 'installer et de se cacher sur des machines compromises, dans le répertoire Windows ou Fichiers Programmes. Il injecte du code dans plusieurs processus et ajoute des exceptions au Pare-Feu de Microsoft® Windows®, fournissant des capacités de backdoor et de serveur. Il envoie des informations sensibles et écoute sur plusieurs ports les éventuelles commandes de l 'attaquant distant. Il essaie également de télécharger des fichiers à partir de serveurs ayant des noms de domaines apparemment enregistrés dans la Fédération de Russie.

De nouvelles variantes sont aussi capables de dérober des informations bancaires, des données de connexion, l 'historique des sites Web visités et d 'autres éléments saisis par l 'utilisateur, ainsi que d 'effectuer des captures d 'écran du bureau de la machine compromise.

Pour protéger vos systèmes et données et éviter de devenir victime des arnaques en ligne sur les impôts, suivez les dix conseils de sécurité ci-dessous :

?    Installez et activez une solution pare-feu et antimalware fiable ainsi qu 'un filtre antispam comme ceux proposés par BitDefender.

?    Mettez à jour votre antimalware, votre pare-feu et votre filtre antispam aussi souvent que possible avec les dernières définitions de virus et signatures de fichiers et d 'applications suspectes

?    Analysez votre système souvent

?    Vérifiez régulièrement votre système d 'exploitation : téléchargez et installez  les dernières mises à jour de sécurité et les outils permettant de supprimer des malwares, ainsi que les autres patches et fixes disponibles.

?    N 'ouvrez pas les e-mails et les pièces jointes provenant d 'expéditeurs inconnus, surtout s 'ils ont pour objet les impôts.

?    Ne répondez pas aux e-mails vous demandant des informations personnelles (telles que votre nom d 'utilisateur et mot de passe, votre numéro de sécurité sociale, vos numéros de comptes ou cartes bancaires) même si ces e-mails affirment provenir d 'organismes liés aux impôts. Ces organismes n 'envoient généralement pas d 'e-mails généraux (adressés à l 'ensemble des contribuables) mais des formulaires imprimés personnalisés (indiquant vos nom et prénom ainsi que d 'autres éléments permettant de vous identifier) via un service postal. En cas de doute au sujet d 'un e-mail supposé être envoyé par l 'un de  ces organismes, contactez-les immédiatement.

?    Ne cliquez pas sur les liens contenus dans les e-mails de spam, même sur ceux censés vous permettre de vous ” désinscrire ” : vous pourriez recevoir d 'autres malwares et compromettre la sécurité de votre système.

?    Lorsque vous transmettez des données sensibles en ligne, assurez-vous que le site Web destinataire utilise le cryptage SSL (Secure Socket Layer) et des méthodes d 'authentification sécurisées : vérifiez la présence du préfixe ” https ” et du cadenas verrouillé

?    Si l 'on vous demande d 'accepter un certificat pour la session, vérifiez que le nom du certificat correspond au nom de l 'institution avec laquelle vous souhaitez traiter et que le certificat est signé par une Autorité de Certification reconnue comme ThawteTM ou VeriSign® avant d 'accepter.

?    En cas de soupçons, n 'hésitez pas à contacter les autorités suivantes : – l 'Autorité de la Concurrence

– la Sécurité Sociale

– le fisc

– la police judiciaire

– le Ministère de la Justice