Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vade Secure : Les malwares ciblent maintenant par géolocalisation

octobre 2017 par Vade Secure

Dans le but de faire toujours plus de dégâts, les malwares évoluent. Nous assistons depuis de nombreux mois à l’industrialisation des malwares avec l’émergence de nombreux outils (Ransomware As A Service) et de nouvelles stratégies d’infections (Faille Zéro Day). Vade Secure observe depuis quelques semaines une nouvelle méthode d’infection « à la carte » utilisée par les cybercriminels. Celle-ci est basée sur la géolocalisation de l’IP de la machine ciblée dans le but de libérer un malware différent et adapté à la zone géographique où se situe la cible ! Ainsi une même campagne de spam contenant un malware (une pièce jointe) peut déployer finalement une charge malicieuse de multiples familles de malware : ransomwares, trojan bancaires ou autres malware botnet.

Encore jamais vue en France, cette technique vient d’être détectée sur le territoire par le spécialiste français de la protection des emails, Vade Secure.

Les malwares et la géolocalisation, comment cela fonctionne ?

Sébastien Gest, Évangéliste Technique chez Vade Secure explique : « Nous assistons depuis la fin du mois de septembre à une nouvelle technique de déploiement de la charge malicieuse. Après avoir cliqué sur la pièce jointe, le code malicieux s’exécutant va identifier dans un premier temps la localisation géographique de la machine ciblée au travers d’une requête à un service en ligne parmi une liste présente dans le code source (ipinfo.io, geoplugin.net, freegeoip.net). Après avoir identifié la localisation, une règle de validation va associer une URL de payload (le malware) à télécharger. Dans les premiers cas que nous avons observés, nous avons retrouvé dans les URL, le payload du ransomware Locky et celui du trojan bancaire Trickbot, qui sont les plus utilisés en France, mais dans le futur nous verrons probablement de nombreux autres malwares utilisés ».

Vade Secure note d’ailleurs la présence de noms de domaines d’entreprises françaises dans la liste des URL :
• autoecole-jeanpierre.com
• autoecoleboisdesroches.com

Quel est l’intérêt de ce nouveau mode de distribution ?

Dans un contexte mondialisé, ce nouveau mode de distribution va permettre de toucher des entreprises sous différentes formes et en différents lieux, mais dans un même laps de temps. Sébastien Gest alerte sur le fait que « les professionnels de la sécurité doivent maintenant prendre en compte des attaques coordonnées. Ces attaques peuvent cibler une zone géographique plutôt qu’une autre dans une même vague ».




Voir les articles précédents

    

Voir les articles suivants