En cette période de fin d’année, les bonus et avantages sociaux pleuvent sur de nombreux salariés… et les tentatives de phishing aussi.

C’est une fiche de paie ? Une prime de fin d'année ? Non, c'est une tentative de phishing bien ficelée ! © janews / Shutterstock
C’est une fiche de paie ? Une prime de fin d'année ? Non, c'est une tentative de phishing bien ficelée ! © janews / Shutterstock

Si vous recevez vos fiches de paie et autres documents liés aux ressources humaines par mail, vous pourriez bien n’y voir que du feu. Les équipes de recherche d’ANY.RUN viennent de mettre le doigt sur une campagne de phishing très active, diffusant des pièces jointes corrompues. Si la méthode peut sembler éculée et flairer l’arnaque à des kilomètres à la ronde, les détails techniques mis en avant par la société cyber démontrent, au contraire, que le piège est bien plus sournois et convaincant qu’imaginé.

Une technique qui tire profit de la récupération automatique sur Word

De façon très classique, tout commence par un mail soigneusement conçu pour paraître légitime. Objet rassurant, ton professionnel, et pièce jointe qui semble provenir des ressources humaines de votre entreprise. Le document, très proprement intitulé « Annual_Q4_Benefits_&_Bonus_2024.docx » et précisément adressé à votre nom, attire logiquement votre attention et vous incite à cliquer, plus encore en cette période où les sociétés ont l’habitude de distribuer bonus et autres avantages sociaux de fin d’année. D’ailleurs, la protection anti-spam et anti-phishing intégrée à votre boîte mail n’a rien détecté de suspect, au même titre que la super solution antivirus dans laquelle vous avez investi pour votre PC.

Mais, vous vous en doutez, cette pièce jointe n’est pas qu’un simple avis de versement de prime au format Word. Il s’agit évidemment d’une tentative de phishing, et elle est particulièrement bien ficelée. Car la pièce jointe est en réalité volontairement corrompue, de manière à passer sous le radar des dispositifs de protection web et système. Une fois le document ouvert, Word détecte le contenu illisible et propose de le réparer à l’aide de son outil de récupération automatique.

À l’issue du processus, les internautes piégées accèdent à un document légitimé par un en-tête officiel de leur entreprise (logo, slogan), et sont invités à scanner le QR code intégré pour accéder à leur avis de prime en ligne. Derrière ce QR code frauduleux, une fausse page web aux allures d’interface de connexion Microsoft, destinée à dérober les informations de connexion professionnelles des victimes.

Le document réparé affiche ici le logo du Daily Mail pour piéger les employés du média, et les invite à cliquer sur un QR code malveillant © ANY.RUN
Le document réparé affiche ici le logo du Daily Mail pour piéger les employés du média, et les invite à cliquer sur un QR code malveillant © ANY.RUN

Les antivirus traditionnels leurrés de A à Z

Si ces types d’attaque ne sont pas nouveaux dans le paysage des arnaques en ligne, le fait de corrompre volontairement un document pour leurrer les systèmes antivirus reste inédit, et plutôt inquiétant. Les équipes d’ANY.RUN ont confirmé avoir uploadé les fichiers illisibles sur VirusTotal, et n’avoir obtenu presque aucun résultat susceptible d’éveiller les soupçons. Au cours de leurs tests, seule une petite poignée de pièces jointes ont généré des alertes, pas deux fournisseurs (GData et Symantec) uniquement.

De deux choses l’une : soit la corruption du fichier empêche tout bonnement les solutions antivirus d’en lire le contenu, soit la technique elle-même, qui ne contient aucun élément de code frauduleux en tant que tel, est suffisamment insidieuse pour berner les outils de sécurité les plus intransigeants en temps normal.

Sur l'ensemble des PJ analysées sur VirusTotal, seules quelques une éveillent les soupçons de deux antivirus, et pas les plus gros © Clubic

Quoi qu’il en soit, même en cas de défaillance antivirus, quelques règles d’usage devraient contribuer à vous protéger face à ces types de menaces de plus en plus sophistiquées. Comme toujours, n’ouvrez jamais les mails en provenance d’expéditeurs inconnus, ne téléchargez aucune pièce jointe susceptible de surfer sur votre curiosité, ne cliquez pas sur des liens suspects.

Dans le cas où vous recevriez ce genre de communication plausible, vérifiez bien l’adresse mail de l’expéditeur. En cas de doute, parlez-en avec les responsables de votre entreprise avant d’interagir avec le contenu du mail. N’oubliez pas non plus que la plupart des sociétés se servent de canaux et de plateformes sécurisés pour émettre ces types d’avis, et passent donc rarement par votre boîte mail directement.

Si jamais vous avez déjà passé toutes ces étapes, contrôlez systématiquement l’URL affichée dans la barre d’adresse, et ce même lorsque vous pensez vous connecter à une page web légitime. Et si les antivirus ont, cette fois-ci, failli à la réception et au téléchargement du document corrompu, nul doute qu’ils parviendront à détecter immédiatement les redirections web dangereuses.

Source : ANY.RUN via X.com

À découvrir
Meilleur antivirus, le comparatif en décembre 2024

01 décembre 2024 à 11h06

Comparatifs services