TOOLinux

Le journal du Libre

Sécurité : des CV truffés de maliciels dérobent des identifiants bancaires

mardi 16 juin 2020

Des chercheurs ont repéré des fichiers malveillants qui se font passer pour des CV, associés à des objets de message tels que “candidature pour un emploi” ou “à propos du poste”, qui incitent les victimes à révéler des mots de passe bancaires, permettant ainsi aux pirates d’effectuer des transactions financières illicites à partir d’un appareil légitime.

Sécurité : des CV truffés de maliciels dérobent des identifiants bancaires

Des chercheurs de Check Point ont repéré des fichiers malveillants prenant l’apparence de CV. Les fichiers, expédiés comme fichiers joints en format Excel, ont été envoyés par courriel, avec comme intitulé dans la ligne Objet les formulations suivantes : “candidature pour un emploi” ou “à propos du poste”.

Lorsque les victimes ouvraient les fichiers joints, il leur était demandé d’“autoriser le contenu”. Après activation, les victimes recevaient le tristement célèbre maliciel ZLoader, un maliciel bancaire conçu pour dérober les identifiants et autres types d’informations privées d’utilisateurs travaillant pour les institutions financières visées.

Le maliciel peut également dérober des mots de passe et des cookies stockés dans les navigateurs Internet de la victime. Munis des informations subtilisées, le maliciel peut permettre aux auteurs des menaces de se connecter au système de la victime et de procéder à des transactions illicites à partir de l’appareil légitime de l’utilisateur du service bancaire.

En résumé :

Les conclusions des chercheurs :

- Le nombre de fichiers malveillants adoptant la forme d’un CV a doublé au cours des deux derniers mois
- En mai 2020, 250 nouveaux domaines comportant le mot “emploi” ont été enregistrés.
- 7% des domaines enregistrés contenant le mot “emploi” étaient malveillants
- Augmentation globale de 16% du nombre d’attaques par maliciels, en comparaison des mois de mars et d’avril

Des formulaires de congés de maladie malveillants

Les chercheurs de Check Point ont par ailleurs repéré des formulaires de congé de maladie malveillants. Ces documents, affublés d’intitulés tels que “COVID -19 FLMA CENTER.doc“, ont contaminé les victimes à l’aide de ce que les chercheurs appellent un maliciel “IcedID”, un maliciel bancaire qui vise les banques, les fournisseurs de cartes de paiement, les prestataires de services mobiles, ainsi que les sites de commerce électronique.

Le maliciel vise à inciter les utilisateurs à introduire leurs identifiants sur une page factice. Ils sont alors envoyés vers le serveur d’un pirate, en même temps que des détails d’autorisation qui peuvent être utilisés pour menacer les comptes de l’utilisateur. Les documents ont été envoyés par courriel, avec comme intitulé dans la ligne Objet : “Ceci est un nouveau formulaire de demande d’employé pour congé maladie aux termes du Family and Medical Leave Act (FMLA)“. Les courriels furent envoyés à partir de différents domaines d’expéditeurs, tels que “medical-center.space”,afin d’inciter les victimes à ouvrir les pièces jointes malveillantes.