Depuis quelques semaines, la campagne de spam s’est accélérée via la diffusion en pièces jointes de dizaines de fichiers compressés .ARJ différents. « L’utilisation de fichiers compressés .ARJ pour diffuser des pièces jointes malveillantes est une pratique en vogue, et de nombreux extracteurs d’archives ZIP peuvent facilement les ouvrir », commente Adrian Miron, chercheur Antispam des Laboratoires Bitdefender. « Dans la mesure où ce type de compression est rarement utilisé, les spammeurs pensent certainement qu’il s’agit d’une ‘nouvelle’ méthode efficace afin d’éviter la détection de solutions de sécurité traditionnelles et de filtres e-mails. »

À l’insu de la victime, le malware tente de connecter l’ordinateur à plusieurs sites Web infectés par Zbot, enregistrés sous des noms de domaines allemands, brésiliens ou français (.de, .com.br, .fr). Les victimes sont alors connectées à un serveur de Commande & Contrôle, à partir duquel les pirates prennent la main sur la machine et peuvent par exemple lancer le téléchargement d’un malware additionnel.

Ce type d’attaque malveillante se diffuse aussi avec les vagues de spam intitulées « facture impayée » et « fax », utilisant les mêmes techniques d’ingénierie sociale pour inciter les utilisateurs à ouvrir le fichier joint.

Selon Bitdefender, la France est l’un des pays les plus touchés par cette campagne de spam avec l’Espagne, la Corée, l’Allemagne, les États-Unis, le Royaume-Uni, l’Italie, la Russie, le Portugal et l’Arabie Saoudite. L’e-mail malveillant est adapté selon chaque pays où les botnets des cybercriminels diffusent les malwares.

Exemple d’e-mail de la campagne de spam en cours :

« Bonjour,

Nous sommes au regret de vous informer que votre contrat avec [nom_de_l’entreprise] va prendre fin. Cette rupture de contrat est dûe au non respect du règlement intérieur concernant les points suivants :

1T7 72 14.09.2012
1T7 52 14.09.2012
1T7 56 14.09.2012

Vous avez été averti par écrit le 27.08.2014. Comme précisé dans l’avertissement final, vous deviez prendre des mesures correctives avant le 15.09.2014. Cela n’ayant pas été fait, il sera mis fin à votre contrat de travail. Pour faire appel de cette décision, vous devez rédiger une demande et en informer par écrit [nom_prénom] au plus tard à 19h le 21.09.2014.

Cordialement,
[nom_prénom]
+07535 XXXXXXX »

Des millions d’attaques de malwares ciblent les entreprises chaque mois dans le monde, et les pirates parviennent à se procurer des données confidentielles en profitant des vulnérabilités des réseaux d’entreprises. Avec la popularité grandissante du BYOD (Bring Your Own Device), ce type d’attaque risque d’autant plus d’être couronné de succès. En France, de nombreux employés se connectent depuis leurs appareils mobiles avec un accès complet au VPN de l’entreprise – l’exploitation d’une faille par des pirates pourrait compromettre une vaste quantité de données concernant l’entreprise.

Afin de se protéger plus efficacement contre les pièces jointes malveillantes, Bitdefender conseille aux PME de :

ne pas faire confiance aux pièces jointes, même s’il ne s’agit pas de fichiers exécutables. Pour dissimuler le code malveillant, les pirates les font souvent passer pour des documents PDF, Word, des images JPG et d’autres types de fichiers à priori inoffensifs,

éviter d’ouvrir des pièces jointes même si les e-mails semblent provenir d’organismes connus ou d’entreprises réputées (compagnies aériennes, banques, etc.). Il suffit d’un clic pour déclencher une infection de malwares même après l’ouverture d’un simple fichier HTML,

ne pas céder à la curiosité. Il n’y a aucune raison pour que vous receviez un avis de non-paiement de facture ou un billet d’avion gratuit par accident, et vous n’avez certainement pas gagné à la loterie Microsoft,

maintenir leur solution de sécurité et leurs programmes à jour, et faire attention aux données stockées sur leurs machines. Les chevaux de Troie installés via des pièces jointes, sont généralement capables de voler des mots de passe.