Sécurité : Des CV truffés de maliciels dérobent des identifiants bancaires

Alors que le chômage explose, les chercheurs de Check Point ont repéré des fichiers malveillants qui se font passer pour des CV, associés à des objets de message tels que “candidature pour un emploi” ou “à propos du poste”, qui incitent les victimes à révéler des mots de passe bancaires, permettant ainsi aux pirates d’effectuer des transactions financières illicites à partir d’un appareil légitime.

  • Le nombre de fichiers malveillants adoptant la forme d’un CV a doublé au cours des deux derniers mois
  • 7% des domaines enregistrés contenant le mot “emploi” étaient malveillants
  • Augmentation globale de 16% du nombre d’attaques par maliciels, en comparaison des mois de mars et d’avril

Des chercheurs de Check Point ont repéré des fichiers malveillants prenant l’apparence de CV. Les fichiers, expédiés comme fichiers joints en format Microsoft Excel, ont été envoyés par courriel, avec comme intitulé dans la ligne Objet les formulations suivantes: “candidature pour un emploi” ou “à propos du poste”. Lorsque les victimes ouvraient les fichiers joints, il leur était demandé d’“autoriser le contenu”. Après activation, les victimes recevaient le tristement célèbre maliciel ZLoader, un maliciel bancaire conçu pour dérober les identifiants et autres types d’informations privées d’utilisateurs travaillant pour les institutions financières visées. Le maliciel peut également dérober des mots de passe et des cookies stockés dans les navigateurs Internet de la victime. Munis des informations subtilisées, le maliciel peut permettre aux auteurs des menaces de se connecter au système de la victime et de procéder à des transactions illicites à partir de l’appareil légitime de l’utilisateur du service bancaire.

Illustration 1: Instructions de téléchargement de ce qui semble être un CV 
inoffensif mais qui correspond en fait à des instructions malveillantes

Dans l’ensemble, les chercheurs de Check Point ont constaté, aux Etats-Unis, une augmentation des arnaques sur le thème des curriculum vitae. Au cours des deux mois écoulés, le nombre de fichiers malveillants prenant la forme de CV a doublé, avec un fichier malveillant sur 450 identifiés correspondant à un fichier de type CV.

Des formulaires de congés de maladie malveillants

Les chercheurs de Check Point ont par ailleurs repéré des formulaires de congé de maladie malveillants. Ces documents, affublés d’intitulés tels que  “COVID -19 FLMA CENTER.doc“, ont contaminé les victimes à l’aide de ce que les chercheurs appellent un maliciel “IcedID”, un maliciel bancaire qui vise les banques, les fournisseurs de cartes de paiement, les prestataires de services mobiles, ainsi que les sites de commerce électronique. Le maliciel vise à inciter les utilisateurs à introduire leurs identifiants sur une page factice. Ils sont alors envoyés vers le serveur d’un pirate, en même temps que des détails d’autorisation qui peuvent être utilisés pour menacer les comptes de l’utilisateur. Les documents ont été envoyés par courriel, avec comme intitulé dans la ligne Objet : “Ceci est un nouveau formulaire de demande d’employé pour congé maladie aux termes du Family and Medical Leave Act (FMLA)“. Les courriels furent envoyés à partir de différents domaines d’expéditeurs, tels que “medical-center.space”,afin d’inciter les victimes à ouvrir les pièces jointes malveillantes.

Omer Dembinsky,  responsable Data Intelligence chez Check Point explique« Alors que le chômage augmente, les cyber-criminels s’affairent. Ils utilisent des CV pour collecter de précieuses informations, plus particulièrement celles ayant trait à de l’argent et aux opérations bancaires. J’exhorte vivement quiconque ouvre un courriel qui est accompagné d’un CV en pièce jointe à y réfléchir à deux fois. Ce pourrait fort bien être quelque chose que vous regretterez. »

Statistiques intéressantes

  • En mai 2020, 250 nouveaux domaines comportant le mot “emploi” ont été enregistrés. 7% de ces domaines étaient de nature malveillante tandis que 9% étaient suspects
  • 1 fichier sur 450 identifiés comme “malveillants” correspond à une arnaque au CV, ce qui représente un doublement du nombre d’arnaques au CV au cours des deux derniers mois
  • Augmentation de 16% du nombre d’attaques par maliciels, comparé à la période mars-avril lorsque l’épidémie de coronavirus était à son maximum.
  • En mai 2020, Check Point a relevé en moyenne chaque semaine plus de 158.000 attaques autour du thème du coronavirus. Cela représente un recul de 7% par rapport au mois d’avril
  • Au cours des quatre dernières semaines, 10.704 nouveaux domaines liés au coronavirus ont été enregistrés. 2,5% d’entre eux (256) étaient de nature malveillante tandis que 16% (1.744) étaient des domaines suspects.

Comment se protéger

Rappelez-vous ces quelques règles d’or pour préserver votre sécurité :

  1. Méfiez-vous des domaines-sosie. Faites attention aux fautes d’orthographe dans les courriels ou sur les sites Internet ainsi qu’aux expéditeurs de courriel inhabituels.
  2. Méfiez-vous des expéditeurs inconnus. Soyez prudents avec les fichiers reçus via courriel qui proviennent d’expéditeurs inconnus, en particulier s’ils vous incitent à effectuer une action déterminée que vous ne feriez généralement pas.
  3. Utilisez des sources authentiques. Assurez-vous que vous commandez des produits auprès d’une source authentique. Une façon de le faire est de NE PAS cliquer sur des liens promotionnels dans les courriels mais, en lieu et place, de rechercher sur Google le commerçant souhaité et de cliquer sur le lien qui s’affiche sur la page des résultats de recherche.
  4. Méfiez-vous des offres “spéciales”. “Un remède exclusif contre le coronavirus pour 150 dollars”. Cette “occase” n’est généralement pas une opportunité commerciale fiable ou crédible. Dans l’état actuel des choses, il n’existe aucun remède contre le coronavirus et, même si c’était le cas, il ne vous serait certainement pas proposé par le biais d’un courriel.
  5. N’utilisez pas le même mot de passe. Assurez-vous de ne pas réutiliser les mêmes mots de passe pour différentes applications ou différents comptes.
Partager cet article :
Bertrand Mahieu

Bertrand Mahieu

Explorateur d'Internet depuis 1995 et toujours à la recherche de la prochaine terre promise connectée. Mangeur de chocolat, fan de cuisine, de rando et de Kindle.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.