Outils sécurité informatique, câbles & matériels réseau livrés en 24/48h

Menaces informatiques liées au Covid-19

Bookmark and Share
Menaces informatiques liées au Covid-19

Attaques informatiques liées au Covid-19, bref historique

Alors que le Coronavirus a déferlé sur la planète et que nous sommes nombreux à être confinés, les cybercriminels tirent profit de la situation pour créer des logiciels malveillants et des cyberattaques qui exploitent notre peur du coronavirus.

"Plus que jamais, le public doit être informé et conscient des interactions qu'ils ont en ligne notamment via les liens qu'ils utilisent et les emails qu'ils ouvrent." a déclaré Terry Greer-King, Vice-Président chez SonicWall.

"Les cybercriminels tentent de profiter de ces temps difficiles en incitant les utilisateurs à ouvrir des fichiers dangereux, grâce à ce qu'ils considèrent comme des sources de confiance."

Les chercheurs du SonicWall Capture Labs analysent en continu les menaces et ont identifié les principales cyberattaques qui exploitent le COVID-19 pour tirer avantage des craintes des utilisateurs.

En voici quelques unes :

Fichier d'archive malveillant du 5 février 2020

Début février, le moteur RTDMI (Real-Time Deep Memory Inspection) a repéré le fichier exécutable CoronaVirus_Safety_Measures.exe envoyé sous forme de pièce jointe dans un email.


SonicWall et NetWalker luttent activement contre les malwares
Fausses consignes de sécurité pour gruger les utilisateur et infecter l'ordinateur

Grâce à l'analyse du fichier, SonicWall l'a identifié comme faisant parti de la famille GOZ InfoStealer détecté pour la première fois par SonicWall RTDMI dès novembre 2019.

GOZ InfoStealer permet de voler les données utilisateur des applications, ainsi que les informations système qui sont renvoyées aux malfrats via SMTP (Simple Mail Transfert Protocol).

Le code malveillant est constamment mis à jour par l'auteur.

Plus de détail dans le billet : Les cybercriminels jouent sur la peur du Covid-19 pour propager un code executable malveillant (Threat Actors Are Misusing Coronavirus Scare To Spread Malicious Executable).


RAT Android coronavirus du 26 février 2020

SonicWall Capture Labs a identifié un cheval de Troie permettant l'accès à distance (RAT) qui est une apk Android nommée 'coronavirus'.

Après installation, le malware demande à la victime de saisir le code PIN de son téléphone et commence à voler des données, tout en demandant à plusieurs reprises l'accès aux services du téléphone.


SonicWall et NetWalker luttent activement contre les malwares Covid-19
Fausse application coronavirus

L'analyse détaillée du code (ci-dessous) dévoile qu'un certain codage est utilisé. Les noms de Class semblent aléatoires mais ont une longueur identique.


SonicWall et NetWalker luttent activement contre les malwares Covid-19
Les noms de Class aléatoires mais de longueur identique

L'inspection des fichiers Manifest.xml, montre que les activités ne sont pas disponibles dans le code décompilé. Les 'vrais' fichiers seront donc déchiffrés pendant l'exécution du code. C'est un mécanisme connu qui rend difficile pour les outils automatisés d'analyse le code et la détection d'actions malicieuses de l'application.

Les détails de cette analyse sont disponibles dans le billet SonicAlert: Android RAT sur le thème du coronavirus à l' affût.

SonicWall Capture Labs offre une protection contre ces menaces avec les signatures suivantes :

  • Spyware.RT (Cheval de Troie)
  • AndroidIS.Spyware.DE (Cheval de Troie)

COVID-19 Hoax scareware du 13 mars 2020

(COVID-19) , également connu sous le nom de "scareware" (Trouille-ware en français ?). L'exemple prétend être un rançongiciel en affichant une demande de rançon (illustrée ci-dessous). En réalité, il ne crypte aucun fichier.


Autre faux malware qui tente de vous extorquer de l'argent
Faux malware pour vrai tentative d'extortion

Il affiche en outre plusieurs messages pour vous faire monter la pression.


Autre faux malware qui tente de vous extorquer de l'argent
Ce n'est pas parce que vous êtes chez vous que vous êtes en sécurité.

Autre faux malware qui tente de vous extorquer de l'argent
Votre PC a été infecté par un malware lié au Covid-19

Au final c'est un malware bénin qui tente de tirer parti de la peur qu'il inspire pour vous faire payer une rançon.

Plus de détail ici : COVID-19 Hoax Scareware.

SonicWall vous protège grâce à la signature suivante :

  • GAV: Scareware.CoVid_A (cheval de Troie)

Campagne marketing malveillante propageant Android RAT du 14 mars 2020

Les analystes de SonicWall Capture Labs ont découvert et analysé des sites Web de campagne malveillants qui propagent actuellement (au moment de la publication) Android Remote Access Trojan (RAT) appartenant à la même famille découverte en février 2020 (voir ci-dessous).

Les cyberattaques passent par la création de sites Web qui diffusent des informations erronées sur le coronavirus (COVID-19), affirmant fournir des moyens de «se débarrasser» du nouveau virus. En fait, ces sites attirent de nouvelles victimes via des liens de téléchargement malicieux.

SonicWall a trouvé deux variantes principales de cette stratégie, l'une en anglais et l'autre en turc. Tous deux servent l' apk du nom corona.apk lorsque la victime clique sur l' image Google Play.


Campagne marketing malveillante liée au Covid-19
Site conçu pour que vous téléchargiez un Trojan

Après avoir téléchargé le fichier apk et examiné le code, SonicWall a trouvé une structure similaire à la variante décrite en février.

C'est un cheval de Troie permettant l'accès à distance Android (RAT) et qui peut effectuer un certain nombre d'opérations malveillantes, notamment:

  • Obtenir des informations sur l'appareil
  • Obtenez une liste des applications installées
  • Autoriser le contrôle à distance de l'appareil via TeamViewer
  • Voler le mot de passe Gmail et / ou le schéma de verrouillage
  • Enregistrer la frappe clavier
  • Télécharger des fichiers
  • Voler des SMS, des contacts
  • Désactiver Play Protect

Il y a beaucoup de désinformation et de panique autour du coronavirus (COVID-19). SonicWall Capture Labs rappelle qu'aucune application mobile ne peut suivre les infections à coronavirus ou pointer vers un vaccin. Faites donc preuve d'une extrême vigilance.

Plus de détail dans le billet SonicAlert Informations erronées liées au coronavirus utilisé pour propager un RAT Android malveillant.

SonicWall vous protège des signatures :

  • Spyware.RT (cheval de Troie)
  • Spyware.DE (cheval de Troie)

Azorult 12 couches.Rk du 16 mars 2020

Nouvelle activité pour le binaire coronavirus Azorult.Rk : les auteurs ont profité de la demande d'information sur la pandémie Covid-19 qui ne fait que s'intensifier.

Azorult.Rk se fait passer pour une application permettant un diagnostic, via une capture d'écran d'un outil interactif populaire qui présente le nombre de cas et la localisation du Covid-19.

Il est structuré en 12 couches d'informations statistiques et dynamiques ce qui rend complexe le diagnostic des analystes. Ce cas particulier met en exergue la façon dont les auteurs de logiciels malveillants masquent leurs motivations et leurs tactiques.


Les malwares tente de vous informer sur le Covid-19
Un programme d'information sur la pandémie qui a pour but de vous infecter

Après avoir examiné les couches, une à une, SonicWall a découvert que le logiciel malveillant tente de transmettre des statistiques et des informations de la machine ainsi que les noms d'utilisateurs, d'hôte …

Les détails de cette analyse sont disponibles dans le billet SonicAlert: Coronavirus, COVID-19 & Azorult.Rk

SonicWall Capture Labs offre une protection contre cette menace avec la signature suivante:

  • GAV: Azorult.RK

Coronavirus Randomware du 19 mars 2020

Les chercheurs de SonicWall Capture Labs ont observé une nouvelle menace de ransomware exploitant la peur des coronavirus. Ce rançongiciel crypte et zippe les fichiers et le renomme 'coronaVi2022@protonmail.ch__(nom de fichier)'.

Il modifie ensuite le nom du lecteur en coronavirus et dépose coronavirus.txt dans chaque dossier du système infecté.

Après avoir modifié les clés d'enregistrement, il ajoute de nouvelles clés et affiche aux utilisateurs le message de rançon suivant:


Ransomware Covid-19
Un vrai ransomware lié à la pandémie

Après 20 minutes, il redémarre la machine ciblée et affiche encore une autre demande de rançon.


Message du ransomware après redémarrage
Après redémarrage automatique … :-(

Des détails supplémentaires sur cette analyse sont disponibles dans le billet SonicAlert: Coronavirus Ransomware.

SonicWall Capture Labs offre une protection contre cette menace avec les signatures suivantes:

  • GAV: CoronaVirus.RSM_2
  • GAV: CoronaVirus.RSM

Ce billet est librement inspiré du blog SonicWall

"A Brief History of COVID-19 Related Attacks, Pt.1" par Dmitriy Ayrapetov


UNE SÉCURITÉ OMNIPRÉSENTE
pour votre entreprise avec
SONICWALL & NetWalker

FireWall TZ et NSA sécurité du réseau Boitier SMA pour les accès distants sécurisé des télétravailleurs Protection des applications dans le Cloud Office 365, G-Suite, Dropbox … Switch SonicWall managés depuis le firewall pour la sécurité de chaque port et chaque station Blocage des malwares en temps réel sur PC, Mac, Linux FireWall pour vos machines virtuelles Bornes WiFi Sécurisée SonicWave

FireWalls
SonicWall TZ & SonicWall NSA
Accès Mobile
Boitiers SMA
Sécurité App Cloud
Cloud
Switchs
Switchs SonicWall SWS
Stations
Capture client pour stations
V-FireWalls
FireWall NSV
Points d'Accès
Bornes WiFi SonicWave 200 et 400
et serveurs: PC, Mac, Linux



Partenaires historiques, avant même la naissance de la marque SonicWall en 1999, NetWalker s'est spécialisée dans la fourniture, la configuration et la gestion des appliances et des services de sécurité SonicWall.

contactez-nous
05 54 07 17 17


Rédigé le  10 mai 2021 12:15 dans Blog Sécurité informatiqueAstuces & solutions  -  Lien permanent

Commentaires

Aucun commentaire pour cet article.

Laisser un commentaire

Les commentaires sont modérés. Ils n'apparaitront pas tant que l'auteur ne les aura pas approuvés.
Le nom et l'adresse email sont obligatoires. L'adresse email ne sera pas affichée avec le commentaire.
Votre commentaire
Votre nom *
Votre Email *
URL de votre site
 
Tarifs indiqués pour un achat en ligne sur le site uniquement aux conditions indiquées. Minimum de commande matériel 25 €ht. Livraison en 24h ouvrées en France métropolitaine pour les commandes passées avant 14h pour les produits en stock. Les infos techniques sont fournies par des tiers à des fins d'information et sont modifiables sans préavis. Nous n'assumons aucune responsabilité sur d'éventuelles erreurs dans les données. Images non contractuelles.