Repérée par le Lab antispam de Bitdefender, cette toute nouvelle campagne de malspam reprenant le thème d’Intuit attire l’attention des utilisateurs de Quickbooks avec de fausses factures et de fausses notifications de paiement.
La campagne de phishing en cours a débuté le 19 avril, ciblant des utilisateurs de Quickbooks du monde entier. Globalement, 14 % des e-mails malveillants ont atteint les États-Unis, 11 % la Corée du Sud, l’Allemagne et l’Inde, 7 % le Royaume-Uni et la France, 4 % l’Italie, 3 % la Suède et 2 % le Canada, la Belgique, l’Autriche, la Suisse et les Pays-Bas.

Plus de la moitié des e-mails trompeurs proviennent d’adresses IP basées en Italie. Les criminels en ont falsifié l’en-tête (« quickbooks@xxxx.intuit.com »), les faisant passer pour des messages authentiques. Afin d’échapper aux nombreux outils de détection, les auteurs de menaces jouent avec les objets des e-mails et les noms d’expéditeurs.

Les objets d’e-mails « Facture 349281 », « Notification de paiement – Facture 001779 » et « Rappel : Facture 017854 » font ainsi partie des nombreuses variantes utilisées par les acteurs malveillants.

Les attaquants ont également personnalisé le corps des e-mails afin d’essayer d’échapper aux mécanismes anti-phishing et antispam. Voici quelques exemples :
• Voici une copie de votre facture ! Nous vous remercions de procéder rapidement à son paiement.
• La commande sera livrée à réception du paiement.
• Nous avons joint la facture suivante afin que vous puissiez la vérifier et la traiter.
• Vous trouverez votre facture en pièce jointe. Veuillez procéder à son paiement dès que possible.

Les e-mails contiennent un tableur Microsoft Excel apparemment inoffensif mais qui dissimule en fait une menace. Une macro malveillante, présente dans le fichier .xls, va lancer un injecteur de cheval de Troie, infectant la machine de la victime avec Dridex.

Dridex est un Trojan bancaire, généralement déployé via des e-mails de phishing contenant des documents Microsoft Word ou Microsoft Excel malveillants.

Ce logiciel malveillant dérobe des informations confidentielles aux victimes, y compris des identifiants bancaires que les auteurs de menaces peuvent utiliser pour accéder à des comptes bancaires et effectuer des transactions frauduleuses.

Même si le principal objectif de ce cheval de Troie bancaire est de dérober des informations bancaires aux victimes, les cybercriminels ont soigneusement mis à jour le logiciel malveillant au cours des dix dernières années. De fait, depuis 2020, Dridex est également utilisé pour déployer des ransomwares sur les appareils cibles dans une optique de maximisation des profits.

Les cybercriminels ont souvent déguisé leurs campagnes de phishing malveillantes en usurpant les noms d’entreprises officielles renommées afin de leur assurer une efficacité maximale. Les e-mails imitant la facture Quickbooks classique que reçoivent habituellement les petites entreprises ou organisations peuvent avoir de sérieuses conséquences.

Les utilisateurs imprudents peuvent se retrouver confrontés à des prélèvements frauduleux sur des cartes de crédit, à des virements bancaires inhabituels à partir de comptes d’entreprise et même à des violations de données susceptibles de compromettre l’intégralité du réseau et du portefeuille de clients d’une organisation.

Cette campagne malveillante en plein essor, qui tire parti de la popularité de l’outil de comptabilité étatsunien utilisé par plus de 2 millions de petites entreprises dans le monde, n’est pas nouvelle. Les campagnes de malware reprenant le thème de Quickbooks connaissent généralement des accélérations pendant les périodes de déclarations d’impôts, dans l’espoir de prendre les utilisateurs par surprise. Toutefois, en ce qui concerne les États-Unis, la campagne intervient près d’un mois avant la date limite de dépôt des déclarations d’impôts.