Semaine 7: prétendues confirmations de commande diffusant des maliciels et nouveaux courriels d'extorsion

22.02.2022 - La semaine dernière, le NCSC a encore reçu un nombre important d'annonces. Des escrocs tentent, au moyen de fausses confirmations de commande, de diffuser un logiciel malveillant leur permettant de contrôler à distance les ordinateurs. De plus, les courriels de chantage émanant de prétendues autorités de poursuite pénale sont de plus en plus fréquents et existent désormais aussi en allemand.

De prétendues confirmations de commande contiennent des maliciels permettant de contrôler à distance les ordinateurs

Depuis 2019, les consommateurs ont modifié leurs habitudes et achètent davantage sur les boutiques en ligne. Cette évolution est mise à profit par les escrocs: ceux-ci envoient par courriel des notifications de livraison frauduleuses. Ces courriels servent le plus souvent à obtenir des données de cartes de crédit ou à convaincre les destinataires d'acheter des cartes PaySafe et de transmettre les codes.

L'analyse d'un courriel suspect transmis au NCSC la semaine dernière a révélé l'existence d'un nouveau mode opératoire: Le courriel indiquait qu'une commande avait été reçue et qu'elle allait être traitée. Les malfaiteurs ne font volontairement référence à aucun magasin ni à aucun article et indiquent simplement un numéro de commande.

Courriel général avec une annexe au format HTML contenant le maliciel.
Courriel général avec une annexe au format HTML contenant le maliciel.

En pièce jointe se trouve un fichier HTML au nom énigmatique. Lors de l'ouverture de ce fichier, l'ordinateur demande d'autoriser le téléchargement d'un autre fichier, cette fois au format ISO. Cette étape constitue pour la victime la dernière chance de se rendre compte de la supercherie.

Les formats ISO sont traités par les ordinateurs comme des CD ou des DVD exécutables et contiennent souvent des supports d'installation, par exemple pour des jeux ou des programmes de bureautique.

À l'ouverture du fichier HTML, la notification concernant le téléchargement d'un fichier ISO apparaît.
À l'ouverture du fichier HTML, la notification concernant le téléchargement d'un fichier ISO apparaît.

Dans le cas présent, le programme contenait un maliciel appelé «AsyncRAT». L'abréviation RAT signifie en anglais «remote access tool». Il s'agit d'un type de logiciels permettant de prendre le contrôle des ordinateurs sur lesquels ils sont installés.

L'analyse du fichier ISO avec un outil approprié indique la présence du maliciel AsyncRAT.
L'analyse du fichier ISO avec un outil approprié indique la présence du maliciel AsyncRAT.

L'accès à distance à un ordinateur permet aux cybercriminels de voler les données qui y sont stockées, ainsi que de télécharger et d'installer d'autres logiciels malveillants, par exemple pour lire les mots de passe saisis.

  • Méfiez-vous des courriels de notification non sollicités.
  • Soyez particulièrement sur vos gardes s'il vous est demandé d'ouvrir ou de télécharger un fichier.
  • N'autorisez jamais l'exécution sur votre ordinateur de fichiers reçus dans ce genre de contexte.
  • Signalez ce type d'incidents au NCSC en lui transmettant, si possible, le courriel concerné.
    Formulaire d’annonce du NCSC

Les courriels d'extorsion au nom de différentes autorités de police à présent aussi rédigés en allemand

Ces dernières semaines, des milliers de courriels de chantage frauduleux, rédigés en français et envoyés au nom de différentes autorités de poursuite pénale, ont atterri dans les boîtes de réception et les dossiers de courriels indésirables des utilisateurs suisses. En France, cette forme d'escroquerie est connue depuis des années. À la fin de l'année dernière, la Suisse romande s'est retrouvée dans la ligne de mire des escrocs. Depuis peu, un nombre grandissant de courriels de ce type sont aussi envoyés au Tessin (avec les logos des autorités italiennes) et en Suisse alémanique (avec les logos des autorités allemandes).

Lettres de chantage frauduleuses en français, italien et allemand.
Lettres de chantage frauduleuses en français, italien et allemand.

Les courriels contiennent de lourdes accusations contre les destinataires et sont envoyés au nom d'autorités de poursuite pénale choisies au hasard. L'objectif est d'inciter les victimes à répondre à l'adresse électronique indiquée dans la lettre. Si quelqu'un se manifeste auprès des escrocs, ceux-ci promettent d'abandonner les prétendues accusations contre le versement de plusieurs milliers de francs. Mais pour les personnes qui paient, l'histoire ne s'arrête pas là: les escrocs reviennent sans cesse à la charge avec de nouvelles demandes, jusqu'à ce que la victime finisse par se rendre compte de l'arnaque et ne paie plus. Le préjudice causé peut être considérable.

Le NCSC signale aux fournisseurs de messagerie correspondants les adresses électroniques utilisées par les malfaiteurs, car elles sont la clé de voûte de la communication avec les victimes et de l'envoi massif de ces messages. Actuellement, il s'agit le plus souvent de comptes de messagerie d'étudiants universitaires. Dans certains cas, l'intervention rapide du NCSC a permis d'interrompre l'envoi de tels courriels et d'ainsi éviter des dommages potentiels.

  • Ne vous laissez jamais mettre sous pression et ne réagissez pas à de telles menaces.
  • Ignorez les courriels de ce genre et classez-les dans les indésirables.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 22.02.2022

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2022/wochenrueckblick_7.html