COVID-19 : VEILLE CYBERSÉCURITÉ #6 – 23 Avril 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur une campagne de phishing menée par le groupe Gamaredon 

Attaque : Campagne de spear phishing visant les institutions gouvernementales ukrainiennes
Procédé :  Spear phishing
Cible : Messagerie
Date de publication : 17/04/2020
Lien(s) :
https://blog.trendmicro.com/trendlabs-security-intelligence/gamaredon-apt-group-use-covid-19-lure-in-campaigns/

Le groupe Gamaredon (anagramme d’Armagedon) connu pour conduire des  APT (Advanced Persistent Threat ou Menaces Persistantes Avancées en français) en Ukraine profite de l’épidémie mondiale pour sévir.

Une équipe de Trend Micro a découvert cette nouvelle affaire à partir d’un e-mail ciblé (spear phishing) qui contenait un fichier Word au format docx. L’objet de cet e-mail parle de lui-même : « Coronavirus (2019-nCoV) ». L’ouverture du document entraîne alors le téléchargement automatique d’un modèle Word (au format dot) depuis internet : Plus d’info ici.

C’est ce nouveau modèle Word qui contient les macros malveillantes qui seront exécutées. Des métadonnées ont pu être retrouvées à partir dudit modèle : le langage utilisé est le Russe, l’auteur du document est « АДМИН » (Administrateur en Russe) et le code page (la langue) est Windows Cyrillic.

L’exécution des macros entraîne la création puis l’exécution du fichier « PlayList.vbs » dont le contenu est codé en dur.

La première tâche du script VBS est de créer une clé de registre dans le but d’être exécutée à chaque démarrage de la machine infectée :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\MediaPlayer wscript.exe //b USERPROFILE%\Documents\MediaPlayer\PlayList.vbs

Suite à cela, un  fichier nommé « Cookie.txt », dont le contenu est chiffré par un simple XOR, est alors téléchargé depuis les serveurs de Gamaredon. Après un rapide déchiffrement, le fichier est enregistré sous le nom « Cookie.exe » pour être exécuté. Ces deux fichiers s’autodétruisent alors… jusqu’au prochain redémarrage de l’ordinateur.

Les actions menées par le programme malveillant vont alors dépendre des habitudes du groupe d’attaquant, et l’usage de la thématique COVID-19 dans le cadre de la conduite d’APT, sans être une énorme surprise, est désormais bien établi.

 

Menaces

Attaque : Le cheval de Troie bancaire Dridex connaît un regain d’activité depuis le début de la pandémie de COVID-19
Procédé : Campagnes de phishing pour implanter un cheval de Troie
Cible : Particuliers et entreprises utilisant Windows
Date de publication : 09/04/2020
Description : L’augmentation récente de l’utilisation de Dridex est due à plusieurs campagnes de phishing contenant un fichier Excel malveillant qui, une fois ouvert, installe le cheval de Troie sur l’ordinateur de la victime. Il cible principalement la plateforme Windows afin de voler des informations d’authentification bancaires et faciliter le transfert d’argent frauduleux.
Lien(s) :
https://blog.checkpoint.com/2020/04/09/march-2020s-most-wanted-malware-dridex-banking-trojan-ranks-on-top-malware-list-for-first-time/

 

Attaque : Microsoft place Trickbot en tête des malwares utilisant des leurres sur le thème du COVID-19
Procédé : Campagne de phishing
Cible : Entreprises et particuliers
Date de publication : 17/04/2020
Description : La campagne de phishing la plus récente s’appuie sur plusieurs centaines d’e-mails contenant des pièces jointes bardées de macros sur le thème du COVID-19 et promettant des offres de test de dépistage gratuit. Une fois l’ordinateur compromis, Trickbot continue son attaque en distribuant des malwares tels que des chevaux de Troie ou des ransomwares.
Lien(s) :
https://www.bleepingcomputer.com/news/security/microsoft-trickbot-in-hundreds-of-unique-covid-19-lures-per-week/

 

Attaque : Campagne de logiciels malveillants sur le thème du COVID-19 ciblant le secteur public en Azerbaïdjan
Procédé :  Vol de données confidentielles/Malware
Cible : Secteur public, secteur industriel éolien et sociétés privées
Date de publication : 16/04/2020
Description : Les secteurs gouvernementaux et énergétiques en Azerbaïdjan sont visés par une nouvelle campagne de logiciels malveillants avec des chevaux de Troie d’accès à distance (RAT). Ces derniers sont notamment capables de voler des documents sensibles et des images de webcam. Ce malware cible principalement les secteurs de l’énergie.  
Lien(s) :
https://blog.talosintelligence.com/2020/04/poetrat-covid-19-lures.html

 

Attaque : Deux hôpitaux en République tchèque ont été ciblés par des cyberattaques
Procédé : Campagne de spear-phishing en vue de mener une cyberattaque
Cible : Systèmes d’information de deux hôpitaux en République tchèque
Date de publication : 17/04/2020
Description : L’attaque a pu être évitée grâce aux avertissements de la National Cyber and Information Security Agency. Les deux établissements ont effectivement pu mettre en place des mesures de vigilance et de prévention, notamment la création de sauvegardes hors-ligne de leurs données.
Lien(s) :
https://in.reuters.com/article/us-czech-cyber-ostrava/czech-hospitals-report-cyberattacks-day-after-national-watchdogs-warning-idINKBN21Z1OH

 

Attaque : CoronaLocker, un malware qui verrouille votre écran d’ordinateur et bloque certaines fonctionnalités de Windows
Procédé : Inconnu à l’heure actuelle
Cible : Utilisateurs de Windows
Date de publication : 21/04/2020
Description : Ce malware est distribué par un faux programme de piratage de Wi-Fi. Une fois installé, l’ordinateur infecté redémarre et amène sur un écran de verrouillage affichant une adresse e-mail et le message « vous êtes infecté du corona virus ». Il est possible de passer outre cet écran de verrouillage mais le malware empêche notamment le gestionnaire des tâches de fonctionner et désactive le menu « Démarrer ».
Lien(s) :
https://www.bleepingcomputer.com/news/security/new-coronavirus-screenlocker-malware-is-extremely-annoying/

 

Attaque : Campagne de logiciels malveillants imitant des applications Android avec des leurres « COVID-19 » à l’encontre des Syriens 
Procédé :  Usurpation d’identité/Malware
Cible : Utilisateurs arabophones, zone régionale syrienne
Date de publication : 15/04/2020
Description : Cette campagne qui est active depuis janvier 2018, s’appuie sur des imitations de près de 70 applications Android sur le thème du COVID-19. Selon les chercheurs de Lookout, les fausses applications malveillantes proviennent d’un même serveur de commande et de contrôle. Une fois installées, certaines d’entre elles peuvent propager un malware et établir une surveillance des ordinateurs et smartphones.
Lien(s) :
https://blog.lookout.com/nation-state-mobile-malware-targets-syrians-with-covid-19-lures

 

Fraudes

Attaque : Campagne d’espionnage « Project Spy » sous une fausse application : « Coronavirus Updates »
Procédé : Logiciels espions
Surface/Application : Appareils Android et iOS
Date de publication : 14/04/2020
Description : « Project Spy » utilise la pandémie du coronavirus pour infecter des appareils Android et iOS et recueillir des données confidentielles (SMS, photos et surveillance des appels).
Lien(s) :
https://blog.trendmicro.com/trendlabs-security-intelligence/coronavirus-update-app-leads-to-project-spy-android-and-ios-spyware/

 

Attaque : Facebook alertera désormais les utilisateurs qui ont interagi avec de fausses informations sur le COVID-19
Procédé : Envoi de messages à caractère informatif
Surface/Application : Facebook
Date de publication : 16/04/2020
Description : Les utilisateurs ayant aimé, réagi ou fait des commentaires sur des contenus trompeurs liés au COVID-19 verront dans leur flux d’actualité un message de Facebook contenant un lien vers la page de l’OMS qui vise à lutter contre les rumeurs sur la pandémie.
Lien(s) :
https://about.fb.com/news/2020/04/covid-19-misinfo-update/

 

Attaque : Campagne de phishing pour de fausses réclamations financières à l’HMRC pour les entreprises britanniques
Procédé : Phishing
Surface/Application : Messagerie
Date de publication : 20/04/2020
Description : Les pirates informatiques se font passer pour un employé du « Her Majesty’s Revenue and Customs » qui invite les victimes (patrons d’entreprises) à demander une compensation financière en raison de la baisse d’activité due au COVID-19 et donc à communiquer ses coordonnées bancaires.
Lien(s) :
https://www.infosecurity-magazine.com/news/hmrc-covid19-phishing-scam/

 

Attaque : La province allemande de Rhénanie du Nord-Westphalie a perdu des dizaines de millions d’euros suite à une campagne de phishing sur le thème du COVID-19
Procédé : Campagne de phishing
Surface/Application : E-mails frauduleux redirigeant vers une imitation d’un site officiel
Date de publication : 18/04/2020
Description : Après avoir créé une copie du site officiel, les cybercriminels ont mené une campagne de phishing redirigeant les entreprises et travailleurs indépendants souhaitant obtenir une aide financière vers leur faux site afin de collecter leurs données personnelles. Après cela, ils ont usurpé l’identité de ces utilisateurs afin de déposer une demande d’aide auprès du gouvernement en prenant soin de remplacer les coordonnées bancaires.
Lien(s) :
https://www.zdnet.com/article/german-government-might-have-lost-tens-of-millions-of-euros-in-covid-19-phishing-attack/

 

Attaque : Fausse publicité Internet Explorer prétendant véhiculer des informations sur le COVID-19
Procédé : Vol d’informations
Surface/Application : Internet Explorer (version obsolète)
Date de publication : 17/04/2020
Description : Cette campagne de phishing exploite un kit d’exploitation nommé « Fallout » et exploite les vulnérabilités d’anciennes versions d’Internet Explorer en installant « Kpot v2.0 » pour voler des données sensibles.
Lien(s) :
https://www.undernews.fr/alertes-securite/covid-19-une-campagne-de-publicite-malveillante-cible-les-utilisateurs-dinternet-explorer.html  

 

Ressources utiles

Type de ressources : Microsoft offre AccountGuard aux établissements de santé pour les protéger contre les campagnes de phishing durant la pandémie de COVID-19
Cible : Établissements de santé dans 29 pays d’Amérique du Nord et d’Europe
Date de publication : 16/04/2020
Description : Habituellement réservé à un nombre réduit d’utilisateurs sélectionnés, le système de protection contre le phishing AccountGuard offre à ses utilisateurs des fonctions de sécurité supplémentaires pour leurs comptes de messageries qui permettent de détecter les e-mails frauduleux.
Lien(s) :
https://www.zdnet.fr/actualites/microsoft-ouvre-accountguard-aux-prestataires-de-soins-de-sante-en-premiere-ligne-du-covid-19-39902227.htm

 

Type de ressources : Waze va afficher des emplacements liés au COVID-19
Cible: Population de 58 pays
Date de publication : 16/04/2020
Description : Le service de navigation Waze va ajouter des avertissements et destinations relatifs au COVID-19 à l’image des centres de tests médicaux, points de collecte et des blocages des rues.
Lien(s) :
https://datanews.levif.be/ict/actualite/waze-va-afficher-des-emplacements-lies-au-corona/article-news-1277847.html

 

Type de ressources : Instagram présente une application pour lutter contre le COVID-19
Cible: Utilisateurs d’Instagram aux États-Unis
Date de publication : 18/04/2020
Description : Les deux cofondateurs d’Instagram ont mis en place la solution « Rt live » pour suivre en direct la propagation du virus. Cette application prévoit également un tableau de bord de suivi par États et par villes.
Lien(s) : https://techcrunch.com/2020/04/18/instagram-founders-rt-live/

 

Type de ressources : Orange a annoncé avoir développé un prototype d’application de traçage des contacts pour endiguer l’épidémie de COVID-19
Cible : Autorités sanitaires
Date de publication : 20/04/2020
Description : Alors que les autorités françaises travaillent au développement de leur propre application de traçage des contacts baptisée StopCovid, la solution proposée par Orange apporterait davantage de garanties de protection des données personnelles. Selon Le Figaro, ce prototype aurait été développé en collaboration avec d’autres entreprises dont Accenture, Dassault Systèmes et Sopra Steria.
Lien(s) :
https://www.zdnet.fr/actualites/stopcovid-orange-developpe-sa-propre-application-pour-endiguer-l-epidemie-39902435.htm

 

Type de ressources : Mise en ligne d’un portail open source pour le partage d’informations sur le COVID-19 par la Commission européenne Cible: Chercheurs et scientifiques
Date de publication : 21/04/2020
Description : Ce portail en open source va permettre aux scientifiques d’avoir accès à l’ensemble des données sur le virus. Il comprendra notamment des séquences ADN, des structures protéiques et des données issues de la recherche pré-clinique.
Lien(s) :
https://siecledigital.fr/2020/04/21/lue-lance-une-plateforme-de-donnees-pour-soutenir-la-recherche-sur-le-covid-19/

 

Autres actualités

Pays : Royaume-Uni
Sujet : Le National Cyber Security Centre (NCSC) a lancé une plateforme de signalement des e-mails suspects
Date de publication : 21/04/2020
Description : Face à la hausse des campagnes de phishing sur le thème du COVID-19, cette nouvelle plateforme dispose d’un scanner automatique qui analyse les e-mails signalés par les citoyens britanniques. Si un e-mail est considéré comme frauduleux, le NCSC fermera les sites web qui lui sont liés.
Lien(s) :
https://www.infosecurity-magazine.com/news/government-covid19-scams-email/

 

Pays : Canada
Sujet : Mise en place de services de cybersécurité gratuits pour les PME et services de santé par l’Autorité canadienne pour les enregistrements Internet (ACEI)
Date de publication : 21/04/2020
Description : Cette initiative va permettre aux PME, services médicaux et organismes sans buts lucratifs d’accéder gratuitement au pare-feu DNS de l’ACEI jusqu’au 30 septembre 2020. Ce projet vise à les protéger leurs systèmes réseaux et de prévenir contre les attaques par phishing.
Lien(s) :
https://www.cisomag.com/cira-offers-free-cybersecurity-to-health-care-small-businesses-and-ngos-in-canada/

 

Pays : États-Unis
Sujet : Les véhicules autonomes de Pony.ai vont être utilisés pour livrer des repas et des courses aux personnes confinées
Date de publication : 20/04/2020
Description : La start-up californienne collabore avec la plateforme de e-commerce américaine Yamibuy pour proposer une solution de livraison de biens de première nécessité sans contact dans la ville d’Irvine. Pony.ai a déjà mis en place un projet similaire à Fremont où ses véhicules autonomes livrent chaque semaine des repas aux personnes logées dans des hébergements d’urgence.
Lien(s) :
https://www.usine-digitale.fr/article/covid-19-les-vehicules-autonomes-de-pony-ai-utilises-pour-les-livraisons-de-courses-sans-contact.N955416

 

Pays : États-Unis
Sujet : Plasmabot, le chatbot de Microsoft pour recruter des donneurs de plasma sanguin
Date de publication : 20/04/2020
Description : Microsoft a lancé un chatbot pour récolter le plasma sanguin de donneurs pour ensuite l’injecter à des patients atteints du COVID-19.
Lien(s) :
https://www.usine-digitale.fr/article/covid-19-microsoft-lance-un-chatbot-pour-recruter-des-donneurs-de-plasma-sanguin.N955341

 

Pays : International
Sujet : Une intelligence artificielle développée par le MIT prévoit une nouvelle vague de contamination du COVID-19 lors du déconfinement
Date de publication : 17/04/2020
Description : Basée sur les données disponibles publiquement, les modèles épidémiologiques et le Deep Learning, cette intelligence artificielle du MIT est capable de prédire la propagation du COVID-19. Elle serait plus efficace que d’autres modèles prédictifs car elle s’appuie également sur un réseau de neurones artificiels. 
Lien(s) : https://www.lebigdata.fr/ia-mit-deconfinement-catastrophe

 

Pays : Pays-Bas
Sujet : Une application de contact tracing pour endiguer le COVID-19 épinglée par la justice néerlandaise
Date de publication : 20/04/2020
Description : L’application a été épinglée pour cause de fuite de données. Les fichiers sources contenaient des données sensibles utilisateurs provenant d’une autre application.
Lien(s) :
https://www.zdnet.fr/actualites/covid-19-une-application-de-contact-tracing-deja-epinglee-aux-pays-bas-39902487.htm

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :
#1
#2 
#3
#4
#5