Multiplication des activités malveillantes et des escroqueries exploitant la guerre en Ukraine

Alors que la guerre en Ukraine s’intensifie, les chercheurs de Bitdefender Labs détectent des vagues de plus en plus nombreuses d’e-mails frauduleux et malveillants exploitant la crise humanitaire et l’âme charitable des destinataires du monde entier. Voici ce que nous avons observé jusqu’à présent.

Des campagnes de spam diffusent des chevaux de Troie

Depuis le 1^er mars, Bitdefender Labs suit deux campagnes de phishing qui essaient d’infecter des destinataires à l’aide de deux chevaux de Troie d’accès à distance (RAT: remote access trojan) – Agent Tesla et Remcos.

1^re campagne

La première campagne de malspam semble cibler les organisations du secteur de la fabrication par le biais d’une pièce jointe au format .zip, « REQ Supplier Survey ». Les attaquants demandent aux destinataires de répondre à une enquête concernant leurs plans d’urgence en réponse à la guerre en Ukraine.

D’après nos chercheurs spécialisés dans les menaces, la charge utile malveillante est téléchargée puis déployée à partir d’un lien Discord directement sur la machine de la victime. Fait intéressant, interagir avec le fichier malveillant conduira également au téléchargement d’une version propre de Chrome sur l’appareil de l’utilisateur – vraisemblablement dans le but de détourner son attention.

Agent Tesla est un RAT MaaS (malware en tant que service) et un voleur de données tristement célèbre qui s’est imposé dans de très nombreuses cyberattaques basées sur des e-mails durant la crise sanitaire. Les malfaiteurs utilisent Agent Tesla pour exfiltrer des informations sensibles – dont des identifiants, des enregistrements de frappes et les données du presse-papier – présentes sur les machines de leurs victimes.

D’après notre analyse, les attaques semblaient provenir d’adresses IP basées aux Pays-Bas (86 %) et en Hongrie (3 %). Les e-mails malveillants ont touché des destinataires dans le monde entier, et notamment en Corée du Sud (23 %), en Allemagne (10 %), au Royaume-Uni (10 %), aux États-Unis (8 %), en République tchèque (14 %), en Irlande (5 %), en Hongrie (3 %), en Suède (3 %) et en Australie (2 %).

Les clients de Bitdefender sont déjà protégés contre les attaques basées sur Agent Tesla. Le fichier joint REQ Supplier Survey.zip, détecté en tant que Gen:NN.ZemsilCO.34232.cm0@aKLKBXo, est identifié et bloqué tant par nos solutions pour particuliers que par nos solutions pour professionnels.

2^decampagne

Le 2 mars, nos chercheurs ont repéré une autre campagne de malspam dans le cadre de laquelle les attaquants se font passer pour une entreprise de santé sud-coréenne spécialisée dans les analyseurs de diagnostics in vitro pour diffuser le RAT Remcos par le biais d’un fichier Excel fourni en pièce jointe (SUCT220002.xlsx).

Le message évoque le conflit en cours en Ukraine et demande aux destinataires s’ils souhaitent suspendre l’une de leurs commandes jusqu’à la reprise des expéditions par voie aérienne. Les cyberattaquants déploient principalement le RAT Remcos par le biais de documents ou d’archives dans le but de prendre le contrôle total des systèmes de leurs victimes. Une fois à l’intérieur des systèmes, ils sont en mesure de s’emparer de frappes, de captures d’écran, d’identifiants ou d’autres informations sensibles présentes dans les systèmes et de les exfiltrer directement vers leurs serveurs.

89% des e-mails malveillants semblent provenir d’adresses IP basées en Allemagne, et 19 % aux États-Unis. Les attaquants ciblent essentiellement des destinataires en Irlande (32 %), en Inde (17 %), aux États-Unis (7 %), au Royaume-Uni (4 %), en Allemagne (4 %), au Vietnam (4 %), en Russie (2 %), en Afrique du Sud (2 %) et en Australie (2 %).

Même si les récentes cyberattaques ne visaient pas spécifiquement des infrastructures ou des civils ukrainiens, les tensions mondiales générées par la guerre en cours se concrétiseront vraisemblablement par des attaques plus ciblées susceptibles de ralentir les services de réponse d’urgence et les efforts d’aide humanitaire dans le pays, a expliqué Alexandru Maximciuc, chercheur spécialisé dans les menaces au sein des Bitdefender Labs.

Nous avons déjà vu des attaques DDoS massives et des wipers (malwares ayant pour objectif d’effacer les données d’un disque dur) frapper des institutions financières et des organisations en Ukraine. Compte tenu des vastes sanctions économiques imposées par les nations occidentales en réponse à l’invasion russe, les agressions numériques visant à perturber les infrastructures critiques ne devraient pas être négligées dans le paysage des menaces actuel.

Les solutions Bitdefender pour particuliers et professionnels détectent la pièce jointe SUCT220002.xlsx qui diffuse le RAT Remcos en tant que Exploit.CVE-2017-11882.Gen.

Augmentation des escroqueries en cryptomonnaies liées aux œuvres de bienfaisance

Le 25 février, le laboratoire antispam de Bitdefender a détecté les premiers signes d’escrocs exploitant la nouvelle de l’invasion russe de l’Ukraine et des citoyens ukrainiens fuyant le pays. Comme l’on pouvait s’y attendre, les fraudeurs continuent de tirer parti de la crise humanitaire en cours dans leur propre intérêt financier.

Quelques heures après le début de l’invasion, le gouvernement ukrainien a annoncé accepter les dons en cryptomonnaies (BTC et ETH), et la communauté internationale a répondu à l’appel. D’après la dernière analyse des transactions sur blockchains, le portefeuille ETH a reçu plus de 18 524 transactions totalisant plus de 9,7 millions de dollars, tandis que le portefeuille BTC a enregistré plus de 9 300 transactions totalisant 9,4 millions de dollars.

Cela ne fait aucun doute : les personnes, les organisations et les gouvernements choisissent leur camp, et les cybercriminels doivent redoubler d’efforts pour rediriger les aides financières et les récupérer.

Les grandes crises et les grands évènements internationaux sont connus pour déclencher des campagnes de spams malveillants qui exploitent les émotions humaines et l’envie qu’ont les gens d’aider, a déclaré Adrian Miron, Antispam Research Manager chez Bitdefender.

Pour l’instant, nous avons remarqué que les attaquants réagissaient très rapidement aux annonces officielles de l’Ukraine et d’autres organisations en imitant le format de leurs messages. Nous nous attendons à ce que la diversité des campagnes de phishing et de malwares, ainsi que le volume de messages envoyés quotidiennement, augmentent régulièrement, et à ce que les attaquants adaptent leurs méthodes de persuasion en conséquence.

Bitdefender Labs surveille activement les e-mails frauduleux sollicitant des dons, qui cherchent à persuader les destinataires de donner de l’argent. Les arnaqueurs se font passer pour le gouvernement ukrainien, pour l’organisation humanitaire internationale Act for Peace, pour l’UNICEF et pour d’autres projets de dons tels que l’Ukraine Crisis Relief Fund en vue de diffuser des demandes de soutien financier prétendument destiné à aider l’armée ukrainienne et les millions de civils et d’enfants pris dans le conflit militaire.

Ces messages peuvent avoir pour objet :

· Soutenez le peuple ukrainien. Dons en cryptomonnaies désormais acceptés. Bitcoins, Ethereum et USDT

· AIDEZ L’UKRAINE à mettre fin à la guerre !

· Dons humanitaires pour l’Ukraine

· Donnez à l’Ukraine, aidez à sauver une vie : merci de lire ce message

· Urgent ! Aidez les enfants d’Ukraine

· Sujet : aidez l’Ukraine

Les e-mails jouent sur les émotions des utilisateurs en évoquant les conséquences de la guerre pour les communautés ukrainiennes et le nombre croissant de réfugiés qui fuient le pays et ont grandement besoin de provisions et d’hébergement.

D’après le laboratoire antispam de Bitdefender, le nombre d’arnaques basées sur des e-mails sollicitant des dons a atteint des sommets le 2 mars.

Une campagne en particulier, ayant pour objet « Soutenez le peuple ukrainien. Dons en cryptomonnaies désormais acceptés. Bitcoins, Ethereum et USDT », provenant d’adresses IP basées en Chine, a atteint des dizaines de milliers de boîtes de réception le 2 mars. 25% des e-mails frauduleux étaient adressés à des utilisateurs basés au Royaume-Uni, 14 % aux États-Unis, 10 % en Corée du Sud, 8 % au Japon, 7 % en Allemagne, 4 % en Roumanie, et 2 % en Grèce, 2 % en Finlande et 2 % en Italie.

Campagnes d’e-mails basées sur l’arnaque nigériane

Les filtres antispam de Bitdefender ont également détecté une variante ukrainienne de l’arnaque nigériane. Un soi-disant homme d’affaires ukrainien réputé vous adresse un e-mail, dans lequel il sollicite votre aide pour transférer 10 millions de dollars jusqu’à ce qu’il ait pu se rendre dans un endroit sûr.

Les arnaqueurs à l’origine de cette escroquerie envoient des e-mails provenant d’adresses IP basées au Botswana (83 %), en Allemagne (10 %) et en France (5 %). Leurs cibles principales sont des utilisateurs basés en Allemagne (42 %), en Turquie (16 %), aux États-Unis (16 %), en Irlande (8 %) et en Pologne (3 %).

Malheureusement, les utilisateurs qui répondent à cet e-mail vont entrer en contact avec l’escroc, qui leur demandera des informations personnelles pour l’aider à transférer l’argent hors du pays. Bien que l’e-mail ne promette aucune contrepartie financière aux destinataires en échange de leur aide, l’escroc mentionnera probablement une rémunération pour l’aide qu’ils lui auront apportée avec la finalisation du transfert. Le plus souvent, l’escroc demandera aux destinataires d’avancer des frais d’administration, souvent associés au transfert de sommes importantes. Après avoir trompé les victimes, l’escroc disparaîtra avec l’argent ou, pire encore, profitera de l’occasion pour vider leurs comptes en banque.

Bitdefender met l’accent sur la cybersécurité

Le fait que les cybercriminels et les escrocs utilisent la crise en Ukraine pour dérober de l’argent aux utilisateurs et diffuser des charges utiles malveillantes ne surprend pas les experts de la cybersécurité. Même si la guerre en Ukraine fait rage à des milliers de kilomètres de bon nombre d’entre nous, la souffrance des gens déclenche une forte réponse émotionnelle chez les utilisateurs du monde entier, qui souhaitent prêter main-forte aux réfugiés fuyant ce pays européen frappé par la guerre.

Nous exhortons tous les internautes à faire preuve d’une vigilance accrue en cette période troublée et à mettre en œuvre de solides pratiques de cyberhygiène afin de s’assurer que l’argent qu’ils ont durement gagné ne finisse pas entre de mauvaises mains.

· Ne cliquez jamais sur des liens ou des pièces jointes contenus dans des e-mails vous demandant d’effectuer un don en urgence

· Donnez exclusivement par l’intermédiaire d’œuvres de bienfaisance, d’organisations à but non lucratif et de collectes de fonds fiables et officielles

· Vérifiez régulièrement vos comptes bancaires pour y déceler la présence d’activités suspectes ou de frais non autorisés

· Définissez des mots de passe uniques pour tous vos comptes en ligne

Pour plus de conseils, veuillez consulter notre guide dédié à la cybersécurité dans les zones de conflit armé.

En réponse à la crise militaire et à l’intensification des activités cybercriminelles, Bitdefender et la Direction nationale de la cybersécurité (DNSC) de Roumanie proposent une cyberprotection gratuite aux citoyens, entreprises et institutions ukrainiens ; cette protection sera disponible aussi longtemps que nécessaire.

De plus, les utilisateurs du monde entier peuvent également renforcer leur cyber-résilience et parer les arnaques en ligne et les menaces électroniques grâce à la version d’essai de notre solution Bitdefender Total Security, accessible gratuitement pendant 90 jours. Avec Bitdefender Total Security, vous bénéficiez de la meilleure protection antimalware qui soit contre les menaces électroniques ciblant tous les principaux systèmes d’exploitation. La fonctionnalité de protection en temps réel intégrée à notre logiciel de sécurité offre une protection en continu contre toutes les menaces électroniques, y compris les virus, les vers, les chevaux de Troie, les ransomwares, les exploits de type « zero day », les rootkits et les spywares afin de vous protéger, vous et vos données.

Remarque : cet article est basé sur des informations techniques gracieusement fournies par Bitdefender Labs.

Protégez-vous !