Logiciels malveillants : prudence recommandée, quel que soit votre système d’exploitation

La tendance à cibler des systèmes spécifiques pour délivrer un logiciel malveillant adapté n’est pas nouvelle. Ainsi, par exemple, dans le domaine des attaques visant les systèmes de paiement, les criminels cherchent-ils depuis quelques temps à identifier la présence de systèmes de paiement hors ligne pour délivrer du code adapté (voir MELANI Newsletter du 25.07.2016 « Les logiciels de paiement hors ligne ciblés par des pirates »). Cette tendance se confirme avec un intérêt grandissant des cyber criminels pour les utilisateurs de macOS. Ainsi, ces dernières semaines, plusieurs vagues d’e-mails ont cherché à propager des logiciels malveillants spécifiquement conçus pour ce système d’exploitation, à travers des pièces jointes. Ces e-mails usurpent généralement l’identité d’entreprises ou entités publiques connues, ce qui est désormais un mode opératoire bien établi (voir MELANI Newsletter du 04.05.2017 « Augmentation des cas d’usurpation de l'identité d’offices fédéraux et d’entreprises connues »). Les dernières versions observées contenaient en pièce jointe les détails d’une soi-disant commande, sous la forme d’une archive .zip. Une fois ouvert, ce fichier allait chercher à installer le cheval de Troie bancaire Retefe. Retefe est un logiciel malveillant bien connu en Suisse, mais jusque-là les attaquants ciblaient exclusivement le système d’exploitation Windows.

Il est intéressant de noter que les criminels cherchent dans un premier temps à identifier quel système d’exploitation est utilisé par un utilisateur précis. Un premier e-mail aura pour finalité de capter cette information. Ce type d’e-mail, qui constitue la première phase de l’attaque, usurpe là encore l’identité d’une institution ou entreprise connue et évoque une prise de contact sous divers prétextes. Il contient parfois un bref texte, mais dans d’autres cas uniquement les coordonnées de l’entreprise. 

En réalité, l’e-mail contient une minuscule image, quasiment invisible à l’œil nu (1x1 pixel). Si cette dernière est affichée (ce qui peut être automatique ou demander une action de l’utilisateur suivant sa configuration), une communication sera établie avec un serveur externe, lequel captera différentes informations sur le système de l’utilisateur (principalement le User Agent). Une fois les informations saisies, les criminels auront la possibilité de délivrer à cette même adresse e-mail un maliciel adapté au système d’exploitation.

MELANI souhaite par la présente rappeler les mesures de sécurité suivantes, s’appliquant à tout utilisateur, quel que soit le système d’exploitation qu’il utilise :

• Assurez-vous que votre service ou programme de messagerie bloque le téléchargement automatique d’images ou des autres fichiers contenus dans les e-mails. Bien souvent, cette protection est activée par défaut.
• N’affichez pas les images contenues dans un e-mail, à moins d’être absolument sûr de leur origine.
• Méfiez-vous des courriers électroniques non sollicités: la prudence est de mise à l’égard de courriels provenant non seulement de personnes inconnues, mais aussi d’expéditeurs connus. Les fraudeurs usurpent souvent l’adresse électronique d’entreprises jouissant d’une bonne réputation pour tromper le destinataire.
• Ne vous laissez jamais mettre sous pression. Prenez le temps nécessaire pour vérifier l’origine du message et, en cas de doute, contactez l’entreprise concernée. Pour ce faire, n’utilisez pas le numéro qui pourrait figurer dans l’e-mail, mais trouvez-le sur une source légitime (site web officiel de l’entreprise, annuaire téléphonique en ligne).
• Dans de rares cas, il se peut que vous attendiez bel et bien un message de la part de cette entreprise. Cependant, il existe là aussi de nombreux indices permettant de distinguer un courriel malveillant d’un courriel authentique (*). Quoi qu’il en soit, prenez toujours le temps de vérifier l’authenticité du message reçu.
  
  (*) MELANI recommande toujours de faire une signature numérique (S/MIME ou PGP) des messages électroniques.

Pour éviter une infection par un logiciel malveillant, MELANI recommande par ailleurs les mesures suivantes :

• Veillez à bloquer ou filtrer la réception de courriels contenant des fichiers potentiellement dangereux sur votre passerelle de messagerie ou filtre antispam. Sont dangereux notamment les fichiers les suivants:
  
  .js (JavaScript)
  .jar (Java)
  .bat (Batch file)
  .exe (Windows executable)
  .scr (Screensaver)
  .com (COM file)
  .pif (Program Information File)
  .vbs (Visual Basic Script)
  .ps1 (Windows PowerShell)
  .wsf (Windows Script File)
  .docm (Microsoft Word avec macro)
  .xlsm (Microsoft Excel avec macro)
  .pptm (Microsoft PowerPoint avec macro)
  
  Pour les systèmes macOS :
  .app (Application macOS)
  .pkg (Package Files)
  .dmg (Disk Images)
  .sh (Shell Scripts)
  .py (Python Scripts)
  .pl (Perl Scripts)
  
  Ces types des fichiers pouvant aussi avoir d’autres extensions, il est important que le programme de filtrage ne se base pas seulement sur l’extension du fichier mais aussi sur le contenu.
  

• Veillez à ce que ces fichiers soient également bloqués lorsqu'ils sont envoyés dans un fichier d'archive tel qu'un fichier ZIP ou RAR ou dans un fichier d’archive protégé (par exemple un ZIP protégé par un mot de passe).
  
• Par ailleurs, il est recommandé de bloquer tous les fichiers joints contenant des macros (par exemple les fichiers joints Word, Excel ou PowerPoint contenant une macro).