Semaine 12: FluBot circule de nouveau en Suisse, et des administrateurs de sites Web ont reçu un message de menace de pirates informatiques soi-disant ukrainiens

29.03.2022 - Le NCSC a reçu légèrement plus d'annonces la semaine dernière. On lui a signalé que des malfaiteurs tentent de nouveau, au moyen de sms, de tromper leurs cibles pour qu'elles installent le maliciel FluBot sur leur smartphone. En outre, plusieurs propriétaires de sites Web ont reçu un message de personnes soi-disant ukrainiennes, qui prétendaient avoir piraté leur site et leur réclamaient un «don».

Le maliciel FluBot circule de nouveau

La semaine dernière, le NCSC s'est vu signaler un grand nombre de sms contenant de fausses notifications de livraison de colis, qui étaient formulées de différentes façons, mais dont le formatage présentait toutefois un point commun: certains mots étaient tronqués. Un lien figurant sous le texte menait à une page Web, où la victime était invitée à télécharger et à installer sur son smartphone Android le logiciel du service de livraison.

Quelques-uns des sms contenant de fausses notifications de livraison de colis.
Quelques-uns des sms contenant de fausses notifications de livraison de colis.

Derrière ce logiciel se trouve en fait le maliciel FluBot, qui n'est pas inconnu en Suisse. La dernière grande vague d'attaques menées avec ce logiciel malveillant a touché notre pays à l’automne 2021, lorsque des sms contenant un lien vers un prétendu message vocal ont été envoyés en grand nombre, comme le NCSC l'a rapporté. Au niveau international, FluBot se cache dans des sms du type «C'est toi dans la vidéo?», mais aussi dans de fausses invitations à mettre à jour son navigateur ou système d'exploitation. Typiquement, les malfaiteurs changent très rapidement de zone cible, le plus souvent déjà après quelques jours. Des campagnes d'attaques sont observées depuis décembre 2021, principalement en Australie et en Allemagne. En Suisse, des sms contenant de fausses notifications de livraison de colis circulent depuis le 18 mars 2022.

FluBot est spécialisé notamment dans le vol de sms sur les téléphones mobiles. Son but est de trouver parmi les sms dérobés des mots de passe à usage unique. Une fois que le smartphone est infecté, l'ensemble de son carnet d'adresses est envoyé au serveur de contrôle des malfaiteurs. Le smartphone reçoit ensuite une liste de numéros de téléphone provenant d'autres appareils piratés, auxquels il doit envoyer le sms malveillant.

Même si ces logiciels malveillants ne ciblent que les appareils Android, les utilisateurs du système d'exploitation iOS doivent aussi rester conscients des risques et éviter de cliquer sur tout lien reçu par SMS.

  • N'installez que les logiciels proposés sur la boutique en ligne officielle de votre système d'exploitation.
  • N'installez surtout pas de logiciel à partir d'un lien reçu par SMS ou par message sur une autre application de messagerie (WhatsApp, Telegram, etc.).
  • Si vous avez déjà téléchargé un tel logiciel, faites contrôler l'appareil par un spécialiste et n'effectuez aucune opération bancaire ou achat en ligne avant ce contrôle. Ne saisissez par ailleurs aucun mot de passe.
  • Dans la plupart des cas, la seule solution pour se débarrasser du logiciel malveillant est de rétablir la configuration d'usine de l'appareil touché.

Des pirates informatiques soi-disant ukrainiens réclament un «don»

La semaine dernière, le NCSC a également reçu plusieurs annonces relatives à un message de menace adressé à des propriétaires de sites Web par des pirates informatiques soi-disant ukrainiens. Dans leur message, envoyé via le formulaire de contact du site, ces derniers prétendaient avoir détecté une vulnérabilité sur le site et exigeaient de son propriétaire qu'il leur fasse un «don» de 0,05 BTC (soit environ 2000 francs au taux actuel) sur un compte en bitcoins.

Les malfaiteurs menaçaient les propriétaires des sites Web qui ne céderaient pas à leur exigence de pirater leur site et d'y afficher une bannière qui inviterait les internautes à soutenir l'Ukraine. Ils affirmaient que si la bannière était retirée par le propriétaire du site, ils la remettraient en place, et que si la vulnérabilité exploitée était supprimée, ils en trouveraient une nouvelle. Si tout cela ne fonctionnait pas, ils feraient supprimer durablement le nom de domaine par le service d'enregistrement.

Message de menace émanant de pirates informatiques se prétendant ukrainiens
Message de menace émanant de pirates informatiques se prétendant ukrainiens

Ce message de menace n'était bien sûr que du bluff. Il montre toutefois que la tragédie de la guerre en Ukraine est également exploitée de différentes manières par des escrocs à leurs propres fins, comme le NCSC l'a déjà relevé le 8 mars 2022.
La semaine dernière, la police cantonale zurichoise a aussi mis en garde contre des tentatives d’escroquerie.

  • Ne vous laissez pas intimider. En cas de doute, signalez les messages suspects au NCSC ou à la police.
  • Veillez à ce que les serveurs et applications Web soient à jour.
  • En matière de dons, l'attitude générale à adopter est la suivante:
    • ne donnez pas suite aux prises de contact par courriel;
    • évitez de faire des dons par carte de crédit;
    • ne transférez pas d'avoirs en cryptomonnaies;
    • n'envoyez pas de codes de cartes-cadeaux (Google Play, Apple iTunes, etc.).
  • Dans l'idéal, n'effectuez de virements que sur les comptes IBAN d'organisations caritatives reconnues par la fondation Zewo (https://zewo.ch/fr/).

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 29.03.2022

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2022/wochenrueckblick_12.html