boutiques en ligne
Les cybercriminels s’en prennent souvent aux petites entreprises : elles dépensent rarement beaucoup d’argent dans leur système de sécurité, ne disposent pas d’un spécialiste en informatique et travaillent principalement à partir d’un ou deux postes. Ce dernier point est particulièrement important puisqu’il permet aux pirates informatiques d’avoir plus de chance d’atteindre la personne qui détient les informations qu’ils recherchent. Nos technologies ont récemment détecté une autre attaque qui s’en prend aux petites boutiques en ligne. Les cybercriminels utilisent des méthodes d’ingénierie sociale pour obliger les directeurs de ces entreprises à exécuter des scripts malveillants sur leurs ordinateurs.
Ingénierie sociale
La méthode utilisée par les escrocs pour convaincre l’employé de télécharger et ouvrir le fichier malveillant est l’aspect le plus intéressant de cette attaque. Ils envoient un e-mail et se font passer pour un client qui a passé une commande qu’il n’a jamais reçue. Ils disent avoir rencontré des problèmes lors du retrait du colis et demandent à la boutique de leur fournir un document où figurent leurs coordonnées (renseignements sur l’expéditeur, numéro de suivi, etc.). Un homme d’affaires ignorerait-il cet e-mail ?
Le message, mal rédigé en anglais mais compréhensible, contient un lien qui redirige le destinataire vers un document Google Docs. Le lien lance le téléchargement d’un fichier qui, bien évidemment, contient un fichier malveillant ; une extension .xlsx dans ce cas.
D’un point de vue technique
L’attaque est simple mais efficace. Il ne fait aucun doute qu’il ne s’agit pas d’un envoi massif. Le message s’adresse aux boutiques en ligne et semble avoir été envoyé à une liste pertinente de destinataires. Ensuite, il n’a rien de malveillant : quelques paragraphes et un lien vers un service légitime. Il est fort probable que les filtres automatiques d’adresse e-mail n’interceptent pas ce message. Ce n’est pas un spam ni un e-mail d’hameçonnage et, plus important encore, il n’y a aucune pièce jointe malveillante.
Le fichier XLSX contient un script qui télécharge et lance un fichier exécutable à partir d’un service à distance : le cheval de Troie bancaire DanaBot que nos systèmes connaissent depuis mai 2018. Ce malware a une structure modulaire et peut télécharger des plug-ins supplémentaires qui lui permettent d’intercepter le trafic et de voler les mots de passe et les portefeuilles de crypto-monnaie. Au moment où nous écrivons cet article, et selon les statistiques publiées au troisième trimestre de 2019, ce programme figure dans le top 10 des malwares bancaires.
Les très petites boutiques sont les cibles principales de cette attaque et il est fort probable que l’employé utilise l’ordinateur infecté pour lire ses e-mails et réaliser des opérations bancaires. En d’autres termes, le dispositif contient toutes les informations que les escrocs recherchent.
Comment se protéger
Tout d’abord, vous devez installer une solution de sécurité de confiance sur tous vos ordinateurs. Nos technologies de sécurité détectent DanaBot (comme Trojan-Banker.Win32.Danabot) et enregistrent les scripts qui téléchargent ce cheval de Troie sous le nom heuristique HEUR:Trojan.Script.Generic. Par conséquent, les ordinateurs qui utilisent les solutions Kaspersky peuvent arrêter cette attaque avant même que le cheval de Troie ne soit téléchargé.
Ensuite, vous devez mettre à jour dès que possible les programmes les plus utilisés. Les plus importantes sont celles du système d’exploitation et les logiciels utilisés par les employés. Les cybercriminels exploitent souvent les vulnérabilités de ces programmes pour envoyer un malware.
Nous conseillons aux petites entreprises d’utiliser [ksos placeholder] Kaspersky Small Office Security[/ ksos placeholder]. Ce logiciel ne requiert aucune compétence particulière en gestion, vous protège efficacement des chevaux de Troie et vérifie la version des applications tierces les plus courantes.
