COVID-19 : VEILLE CYBERSÉCURITÉ #11 – 28 Mai 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le cheval de Troie NetSupport Manager

Attaque : Une campagne de phishing sur le thème du COVID-19 diffuse le cheval de Troie d’accès à distance NetSupport Manager
Procédé : Phishing
Cible : Utilisateurs de Windows
Date de publication : 19/05/2020
Lien(s) :
https://www.bleepingcomputer.com/news/security/microsoft-warns-of-massive-phishing-attack-pushing-legit-rat/ 
https://twitter.com/MsftSecIntel/status/1262504864694726656

Une campagne de phishing de grande envergure utilise le thème du COVID-19 pour inciter des victimes à ouvrir un document Excel malveillant. Les macros présentes dans cette pièce jointe téléchargent un outil d’accès à distance permettant ainsi aux attaquants de contrôler les machines infectées.

L’e-mail provient d’une adresse qui tente d’usurper l’université « John Hopkins », université qui fournit une carte et des données liées au COVID-19 (https://coronavirus.jhu.edu/us-map). Cet e-mail contient un document Excel 4.0 ayant un nom générique suivi d’un identifiant à 4 chiffres : « covid_usa_nyt_XXXX.xls ». L’identifiant est dynamiquement généré pour contourner les filtrages statiques appliqués sur les pièces jointes par certains serveurs de mail.

Lors de l’ouverture du document Excel, différents contenus peuvent apparaitre, toujours en lien avec des données COVID-19 (tableaux, carte des Etats-Unis, graphiques, etc.). Un message d’avertissement apparait systématiquement indiquant que ce document souhaite exécuter des macros. Si l’utilisateur accepte ce message, le document téléchargera « NetSupport Manager », outil normalement légitime de support pour assister des utilisateurs à distance. Cependant, dans cette campagne de phishing, l’outil est téléchargé et exécuté à l’insu de l’utilisateur puis se connecte à un serveur contrôlé par les attaquants.

Lorsque cet outil est téléchargé, il est enregistré sur le disque avec le nom « dwm.exe » dans un dossier aléatoire situé dans %AppData%. Cela permet de cacher le fonctionnement de l’outil car il se fait passer pour le gestionnaire de fenêtres Windows (Desktop Windows Manager). Un utilisateur non averti ne remarquerait donc pas sa présence s’il explore la liste des tâches en cours d’exécution sur le système.

Les attaquants ont alors la main sur les machines des cibles. L’outil NetSupport Manager n’est qu’un moyen pour poursuivre l’attaque et l’infection des différents hôtes. En effet, d’autres éléments sont téléchargés et enregistrés sur le disque des victimes via cet outil, tels que des bibliothèques Windows (DLL), des exécutables, des fichiers de configuration (INI) ainsi que des scripts (VBScript et Powershell obfusqué). Voici une liste d’éléments lors de l’exécution du malware en environnement bac à sable :

  • dwm.exe.bin
  • rt35.exe.bin
  • rt35_1_.exe
  • remcmdstub.exe
  • pcicapi.dll
  • dwm.exe
  • PCICHEK.DLL
  • PCICL32.DLL
  • blowfish.dll
  • HTCTL32.DLL
  • yujEtky.exe

Ces différents éléments établissent une connexion entre la victime et un serveur de commande et de contrôle (C2 – Command & Control) pour pouvoir effectuer des actions malveillantes arbitraires sur les machines. Il assure également sa persistance via l’enregistrement de l’outil NetSupport dans la clé de registre RUN de l’utilisateur courant.

reg.Exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v dwm /t REG_SZ /d %APPDATA%\pqok59HY\dwm.exe /f

La seule protection efficace contre ce type d’attaque est de sensibiliser les utilisateurs pour qu’ils prennent conscience des dangers des e-mails malveillants. Il convient de leur expliquer que les pièces jointes doivent toujours être considérées comme suspectes, notamment lorsqu’elles proviennent de sources inconnues ou non fiables.

 

Menaces

Attaque : Le Bureau central d’investigation (CBI) indien alerte sur le cheval de Troie Cerberus distribué via une campagne de phishing utilisant des leurres COVID-19
Procédé : SMS frauduleux
Cible : Données bancaires de la population indienne
Date de publication : 19/05/2020
Description : En piégeant ses victimes via l’envoi de SMS frauduleux contenant un lien malveillant, le cheval de Troie bancaire Cerberus vole des données financières, dont des numéros de cartes bancaires. Ce malware utilise également des techniques de superposition afin de pousser l’utilisateur à fournir des données personnelles supplémentaires et capturer les authentifications à deux facteurs.
Lien(s) :
https://economictimes.indiatimes.com/tech/software/cbi-alerts-states-on-malicious-software/articleshow/75828278.cms

 

Attaque : Une campagne de spear-phishing sur le thème du COVID-19 vise des institutions bancaires indiennes pour distribuer un cheval de Troie d’accès à distance
Procédé : Spear-phishing
Cible : Banques coopératives en Inde
Date de publication : 12/05/2020
Description : L’ouverture de documents malveillants contenus dans des e-mails distribue le cheval de Troie d’accès à distance JRat pouvant être exécuté sur n’importe quel OS. Le malware modifie la clé de registre et dépose un fichier JAR à l’emplacement %appdata%. Difficilement détectable par les antivirus, il permet l’enregistrement de clés, le téléchargement de charges utiles supplémentaires et l’obtention d’informations sensibles des victimes.
Lien(s) :
https://www.seqrite.com/blog/java-rat-campaign-targets-co-operative-banks-in-india/

 

Attaque : Des cybercriminels diffusent un malware par le biais d’une application Android frauduleuse estampillée « Covid »
Procédé : Application malveillante
Cible : Données des smartphones
Date de publication : 18/05/2020
Description : Lorsque l’utilisateur lance l’application, le malware renvoie vers un serveur de Commande et de Contrôle (C2) les informations de l’appareil telles que le numéro de série de la carte SIM, les contacts du téléphone, les messages et les adresses IP. Avant que le logiciel malveillant ne soit pleinement opérationnel, l’appareil doit être redémarré.
Lien(s) :
https://labs.bitdefender.com/2020/05/android-malware-in-covid-19-clothes-steals-sms-and-contacts/

 

Fraudes

Attaque : Des cybercriminels imitent l’outil de collaboration en ligne LogMeIn pour extraire des informations d’identification des comptes utilisateurs
Procédé : Phishing
Surface/Application : Site web frauduleux
Date de publication : 19/05/2020
Description : Ces e-mails frauduleux informent le destinataire d’un correctif pour une vulnérabilité de type “zero day” présente dans l’un des produits de LogMeIn. L’utilisateur est invité à faire la mise à jour en suivant le lien donné qui le redirige vers une page de connexion imitant celle de LogMeIn. Les cybercriminels peuvent alors voler les informations d’authentification LogMeIn des victimes et potentiellement accéder à leur gestionnaire de mot de passe LastPass.
Lien(s) :
https://abnormalsecurity.com/blog/abnormal-attack-stories-logmein-phishing/

 

Attaque : Une campagne de phishing reposant notamment sur le COVID-19 utilise le stockage Firebase de Google pour collecter des données personnelles  
Procédé : Phishing
Surface/Application : Site web frauduleux
Date de publication : 21/05/2020
Description : Les cybercriminels imitent des prestataires de service pour inciter leurs clients à cliquer sur un faux formulaire de paiement hébergé sur Firebase Storage. Ils peuvent alors obtenir les identifiants d’entreprises de leurs victimes pour mener des attaques. Les indicateurs de compromis de ces campagnes de phishing sont listés par Trustwave.
Lien(s) :
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phishing-in-a-bucket-utilizing-google-firebase-storage/

 

Ressources utiles

Type de ressources : Guide international des accords de traitement des données à caractère personnel dans le cadre de la pandémie du COVID-19
Cible : Entités publiques et privées
Date de publication : Mis à jour le 13/05/2020
Description : L’association internationale des professionnels de la protection vie privée (IAPP) a listé les directives officielles d’une cinquantaine de pays. Ces documents ont pour objectif d’informer les entités publiques et privées sur la collecte des données personnelles, en particulier les données de santé.
Lien(s) :
https://iapp.org/resources/article/dpa-guidance-on-covid-19/

 

Type de ressources : France Télévisions et Cybermalveillance.gouv.fr lancent une campagne de sensibilisation aux risques numériques dans le contexte de la crise sanitaire
Cible : Grand public  
Date de publication : 15/05/2020
Description : Cette campagne est composée de vidéos et infographies thématiques retransmises à la télévision et sur les réseaux sociaux de deux institutions. Diffusées depuis le 18 mai sur les chaînes du groupe France Télévisions, ces vidéos portent sur la gestion des mots de passe, les mises à jour des appareils numériques, les sauvegardes et le phishing.  
Lien(s) :
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/campagne-nationale-2020-tv-medias-groupe-france-televisions

 

Autres actualités

Pays : France
Sujet : La CNIL publie son avis sur les conditions de mise en œuvre de l’application de traçage numérique StopCovid
Date de publication : 26/05/2020
Description : Dans ce nouvel avis, la Commission recommande que les utilisateurs doivent être informés plus rigoureusement des conditions d’utilisation de l’application et des modalités de conservation des données, notamment auprès des mineurs et de leurs parents. Elle souligne également que l’utilité réelle de l’application pour endiguer la pandémie de COVID-19 devra être étudiée après son déploiement et que son code source devra être publié intégralement.
Lien(s) :
https://www.cnil.fr/fr/la-cnil-rend-son-avis-sur-les-conditions-de-mise-en-oeuvre-de-lapplication-stopcovid

 

Pays : États-Unis et Canada
Sujet : Fitbit lance une étude pour développer un algorithme capable de détecter les symptômes du COVID-19
Date de publication : 21/05/2020
Description : Le constructeur de bracelets et montres connectés récolte, sur la base du volontariat, les données physiologiques de ses utilisateurs contaminés ou suspectés d’être infectés par le virus. L’objectif est de développer un modèle permettant d’identifier très tôt les cas potentiels de COVID-19 afin de les isoler et les prendre en charge avant l’apparition de symptômes plus graves.
Lien(s) :
https://techcrunch.com/2020/05/21/fitbit-launches-a-covid-19-early-detection-study-and-you-can-join-from-the-fitbit-app/

 

Pays : Israël
Sujet : Israël limite le suivi téléphonique COVID-19 aux “cas spéciaux”
Date de publication : 24/05/2020
Description : La réglementation d’urgence qui permettait aux services de sécurité israélien (Shin Bet) de suivre les téléphones portables de la population pendant la crise du COVID-19 a été modifiée par le Parlement. Les suivis seront désormais restreints et limités à des cas spécifiques, la localisation ne permettant pas de mener des enquêtes épidémiologiques.
Lien(s) :
https://www.reuters.com/article/us-health-coronavirus-israel-surveillanc-idUSKBN2300O1

 

Pays : International
Sujet : L’API « Exposure Notification » développée par Apple et Google mise à disposition des agences de santé publique
Date de publication : 20/05/2020
Description : Basée sur le Bluetooth, cette API peut être intégrée aux applications de traçage numérique des pays souhaitant l’adopter. Elle permet d’informer ses utilisateurs ayant été en contact avec les cas avérés de COVID-19 et assure la confidentialité de leurs données, celles-ci étant stockées sur l’appareil plutôt que sur un serveur centralisé. Sans cette API, les applications de traçage numérique ne peuvent pas utiliser le Bluetooth en arrière-plan, en particulier sur iOS.
Lien(s) :
https://www.blog.google/inside-google/company-announcements/apple-google-exposure-notification-api-launches/
https://techcrunch.com/2020/05/20/apple-and-google-launch-exposure-notification-api-enabling-public-health-authorities-to-release-apps/

 

Pays : Estonie
Sujet : L’Estonie teste le passeport d’immunité numérique  
Date de publication : 23/05/2020
Description : Avec l’un des premiers passeports d’immunité numérique au monde, l’Estonie effectue ses premiers tests sur les lieux de travail pour permettre aux personnes de partager leur statut d’immunité avec un tiers. Ce passeport qui nécessite une authentification numérique génère un QR code temporaire avec les données récoltées. Concernant les nuances de l’immunité, peu de détails ont été fournis par Back to Work, l’organisation en charge du projet.
Lien(s) :
https://www.reuters.com/article/health-coronavirus-estonia-digital/estonia-starts-testing-digital-immunity-passport-for-workplaces-idUSKBN22W0GE

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :
#1
#2 
#3
#4
#5
#6
#7
#8
#9
#10