Covid-19 et les quarante voleurs
Le contexte mondial de crise sanitaire que nous vivons semble bien être une aubaine pour les groupes cybercriminels et les escrocs à la petite semaine. Même si certains attaquants ont annoncé qu’ils laisseraient en paix les établissements de santé pendant toute la durée de la crise1, leur faire confiance reviendrait à croire les promesses faites en période électorale.
Je vous propose un petit tour du panorama des arnaques et attaques observées, utilisant le thème du Covid-19 pour tenter de soutirer de l’argent ou des données aux victimes potentielles.
1. Le phishing au Webmail
Commençons avec un grand classique, l’arnaque au Webmail. Nous observons depuis près de deux ans maintenant une campagne de phishing qui touche énormément d’établissements de santé français. Si la mode semble être revenue aux messages « standards » ces dernières semaines, le thème du Covid-19 n’a pas échappé aux personnes à l’origine de cette (ou ces) campagne(s).
Ici avec une messagerie piratée appartenant à un établissement de santé :
Ou encore ici, où pour éviter de se faire arrêter par les solutions anti-spam à cause d’un lien malveillant, de se faire retirer son formulaire en ligne trop rapidement ou encore de voir sa page bloquée par les navigateurs Web, les attaquants ont opté pour une page HTML en pièce jointe, représentant une fausse page d’authentification OWA qui n’est autre qu’un formulaire permettant d’exfiltrer les données :
2. L’arnaque au faux support
D’autres campagnes de pourriels utilisent là encore le sujet du Covid-19 pour amener les destinataires à cliquer :
L’utilisateur se voit alors redirigé vers une page de type « faux support Microsoft », avec une bande son qui lui explose les tympans en lui martelant que son poste est infecté et qu’il faut vite appeler le fameux support technique :
Sur le sujet, je vous recommande l’enquête vidéo de Micode en trois épisodes2.
3. La distribution de logiciels malveillants via courriel
Le thème du Covid-19 est employé à de nombreuses reprises pour distribuer sous toutes les formes possibles, des logiciels malveillants. Des courriels accompagnés de pièces jointes de type archives (zip, 7z, rar, gz, tar, arj et même iso) contenant directement un exécutable, des fichiers de type bureautique (doc, docx, xls, xlsx), qui grâce aux macros font office de dropper et permettent le téléchargement de la charge malveillante ou encore des liens inclus dans le corps du message.
L’appât semble tellement bien fonctionner que tout le monde s’y met ! On observe un nombre impressionnant de logiciels malveillants différents distribués via des campagnes de spam reprenant le sujet du Covid-19 :
NanoCore3, un RAT (Remot Acces Tool ou Trojan) utilisé pour le vol d’informations de connexion et l’espionnage, dont la première utilisation connue en 2017 est attribuée au groupe iranien APT334, s’est lui aussi adapté à l’actualité :
Certains ont pris le parti du libre et de la facilité, en utilisant AsyncRat, un RAT prêt à l’emploi disponible sur Github5, dans cet exemple déployé sur un serveur Windows hébergé en France :
Dans la série, Remcos6, un RAT, lui aussi utilisé par le groupe APT334, ou encore Agent Tesla, un RAT et Keylogger qui s’occupe également de récupérer le contenu du presse papier et les informations de connexion Wifi, récemment utilisé pour déployer le rançongiciel Ransom20, comme le détaille Unit 42 (Palo Alto) dans un article du mois d’avril7 :
Également observés, le RAT Koadic8, l’outil d’exfiltration de mots de passe Loki9, les droppers Ostap10 et GuLoader11 ou encore le Keylogger HawEye12. La France n’est d’ailleurs pas épargnée, comme l’indique un article publié par Bitdefender13.
Plus récemment encore, une importante campagne de phishing décelée par les équipes de Microsoft14, présentant un tableur avec des prétendues statistiques sur le nombre de patients américains morts du Covid-19 et incitant à activer les macros du document pour déployer un outil d’administration à distance « légitime » (NetSupport Manager) et avoir main mise sur la machine victime, a été observée :
Dans cet exemple partagé lui aussi par les équipes de Microsoft15 et qui permet le déploiement du cheval de Troie Trickbot16, le prétexte utilisé ici pour inciter à cliquer, est la proposition de dépistage gratuit :
Le thème du Coronavirus a également inspiré les auteurs de certains logiciels malveillants, comme le rançongiciel du même nom17 :
Ou encore le « nuisible » Coviper18 ayant visé plusieurs établissements de santé européens et dont le seul but est d’empêcher les machines victimes de démarrer en modifiant le secteur d’amorce MBR du disque de dur de la machine victime. Les chercheurs d’Avast ont également indiqué qu’un mécanisme de « Kill Switch » permettait de restaurer le MBR original en effectuant la combinaison de touches suivantes :
CTRL+ALT+ESC
Très répandu ces derniers mois également, le cheval de Troie Dridex s’est lui aussi adapté à la crise sanitaire, comme dans cet exemple où il était distribué par le biais de courriels dont le sujet était « RE: Review COVID-10 Policy » :
L’activation des macros permet le téléchargement de la charge utile, un exécutable voulant se faire passer pour un processus légitime :
Le CERT-FR de l’ANSSI a publié un rapport très complet19, ainsi que des indicateurs de compromission20 liés au code malveillant Dridex.
Un récent rapport publié par Malwarebytes21 sur les attaques utilisant le thème du Coronavirus évoque également l’utilisation massive des RAT Ave Maria22, et Netwire RC23 (qui lui aussi est associé au groupe iranien APT334) ainsi que des chevaux de Troie Azorult24 et Danabot25.
Le Coronavirus semble avoir largement inspiré les cybercriminels puisque le baromètre Signal Spam indique que le phishing aurait augmenté de 600 % sur le mois de mars26.
4. Le télétravail et l’insouciance de certains administrateurs
Par insouciance, méconnaissance ou peut-être par amour du risque, Jonathan et Jennifer, administrateurs non milliardaires de systèmes d’informations de santé français ont joué à Jumanji en ouvrant les portes de leur précieux sur la jungle d’Internet.
Ici avec l’interface Webmin d’un serveur Linux :
Ici avec des serveurs Windows accessible en RDP :
Ou encore ici avec un poste utilisateur accessible lui aussi en RDP depuis une adresse IP publique :
D’après la cellule ACSS, un établissement de santé français semble en avoir fait les frais puisqu’il a été victime du rançongiciel Ncov27, un rançongiciel de la famille Dharma28 dont les attaquants sont connus pour scanner Internet à la recherche de serveurs RDP exposés, avant de réaliser une attaque par force brute pour obtenir un accès, s’immiscer sur la machine et déployer le rançongiciel.
5. D’autres attaques à l’encontre du secteur de la santé en Europe
En Italie, des attaquants se sont attaqués au site Web de l’ordre des Pharmaciens pour pouvoir héberger la charge utile du rançongiciel FuckUnicorn29 dont le code semble être basé sur le rançongiciel libre Hidden-Tear30. J’imagine les RSSI santé italiens face au dilemme : « On bloque l’accès au site ? On ne bloque pas ? »
Le site Web est toujours en maintenance à l’heure où j’écris ces lignes.
En Roumanie, le groupe de cybercriminels PentaGuard Hackers Crew a été arrêté par les forces de l’ordre alors qu’il menaçait de déployer un rançongiciel dans l’ensemble des hôpitaux du pays par le biais d’une campagne de phishing sur le thème du COVID-1931.
D’après la télémétrie de Bitdefender, une explosion des tentatives d’attaques par rançongiciel dans les hôpitaux a été observée entre février et avril 202032.
6. La crise sanitaire : une aubaine pour les arnaqueurs en tout genre
Les e-boutiques de vente de masques et gel hydroalcoolique, plus ou moins légitimes fleurissent, avec souvent des tarifs exorbitants.
Si je n’ai pas de doutes sur le ou les débits que pourraient réaliser les auteurs de certains de ces sites sur les cartes bancaires des acheteurs potentiels, j’en ai déjà un peu plus en ce qui concerne la livraison.
Tout le monde s’y est mis, même sur le Dark Web des boutiques proposant des masques sont apparues :
Et cerise sur le gâteau, les utilisateurs du Tor Browser peuvent déjà se procurer LE vaccin depuis le mois d’avril :
7. Arnaques aux FOVI ciblant les établissements de santé
Quel meilleur prétexte qu’une promesse de livraison rapide de masques FFP2 pour inciter les établissements de santé à effectuer un virement bancaire d’acompte. Plusieurs arnaques aux FOVI (faux ordres de virements bancaires) ont été observées dans les établissements de santé français. Par téléphone tout d’abord, avec un interlocuteur qui ne manque pas d’aplomb, il y des chances d’en avoir certains. Sinon, le bon vieux courriel reste une valeur sûre :
Qui a dit que le sujet cyber ne serait pas un problème pendant la crise sanitaire ?
2 Épisode 1 : https://youtu.be/gbYdQOde6EU
Épisode 2 : https://youtu.be/0M4k-j-8LXY
Épisode 3 : https://youtu.be/5vCdM4RvoiQ
3 https://malpedia.caad.fkie.fraunhofer.de/details/win.nanocore
4 https://malpedia.caad.fkie.fraunhofer.de/actor/apt33
5 https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/
6 https://malpedia.caad.fkie.fraunhofer.de/details/win.remcos
8 https://github.com/zerosum0x0/koadic
9 https://malpedia.caad.fkie.fraunhofer.de/details/win.lokipws
10 https://malpedia.caad.fkie.fraunhofer.de/details/js.ostap
11 https://malpedia.caad.fkie.fraunhofer.de/details/win.guloader
12 https://malpedia.caad.fkie.fraunhofer.de/details/win.hawkeye_keylogger
13 https://labs.bitdefender.com/2020/03/5-times-more-coronavirus-themed-malware-reports-during-march/
https://twitter.com/MsftSecIntel/status/1262504864694726656
15 https://twitter.com/MsftSecIntel/status/1252998515757707266
16 https://malpedia.caad.fkie.fraunhofer.de/details/win.trickbot
18 https://decoded.avast.io/janrubin/coviper-locking-down-computers-during-lockdown/
https://tccontre.blogspot.com/2020/04/covid19-malware-analysis-with-kill-mbr.html
19 https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-005.pdf
20 https://www.cert.ssi.gouv.fr/ioc/CERTFR-2020-IOC-003/
22 https://malpedia.caad.fkie.fraunhofer.de/details/win.ave_maria
23 https://malpedia.caad.fkie.fraunhofer.de/details/win.netwire
24 https://malpedia.caad.fkie.fraunhofer.de/details/win.azorult
25 https://malpedia.caad.fkie.fraunhofer.de/details/win.danabot
26 https://www.signal-spam.fr/barometre-de-la-perception-du-spam-1er-trimestre-2020/
28 https://malpedia.caad.fkie.fraunhofer.de/details/win.dharma
29 https://twitter.com/JAMESWT_MHT/status/1264828072001495041
30 https://github.com/goliate/hidden-tear/tree/master/hidden-tear