Depuis la fin du mois de juin 2021 et la propagation du variant Delta, les menaces liées à la COVID-19 ont nettement augmenté sur la Toile. Il faut dire que le coronavirus reste le thème majeur des cybercriminels ces temps-ci.
Plus le variant Delta progresse aux yeux du public, plus les menaces cybercriminelles se font pressantes. C'est le constat simple mais ci-après détaillé que fait l'entreprise spécialisée Proofpoint, après avoir étudié les nombreux mouvements et campagnes autour de la COVID-19. Pour les attaquants informatiques, l'intérêt accru autour du variant a mécaniquement permis de mieux distribuer les malwares RustyBuer, Formbook et Ave Maria, sans oublier les tentatives de phishing notamment à destination des utilisateurs de Microsoft.
Des campagnes qui se multiplient à mesure que le variant Delta se diffuse
Proofpoint, qui suit les menaces tirant parti de la COVID-19 depuis ses débuts, en janvier 2020, avait au début de la pandémie identifié l'activité importante du groupe TA542, qui distribuait Emotet, le terrible malware depuis démantelé, par e-mail. Et si le thème est resté récurrent, il semble que l'on ait atteint un certain plafond en matière de menaces, jusqu'en juin 2021.
Depuis le début de l'été, les experts cyber ont observé diverses campagnes à grand volume autour du thème de la COVID-19. Les logiciels malveillants RustyBuer, Formbook et Ave Maria ainsi que les tentatives de phishing visant à dérober des identifiants Microsoft et 365 (ex-Office 365) ont été, nous le disions, très présents. Mais ce n'est pas tout.
Les chercheurs en cybersécurité de Proofpoint nous disent aussi avoir noté une hausse des menaces de compromission de messagerie professionnelle, toujours sur le thème de la COVID-19. Et le phénomène de la recrudescence des menacées liées au variant Delta est planétaire. Des dizaines de milliers de messages destinés à divers secteurs ont été observés partout dans le monde. Les données et programmes open source sont une cible des hackers. En Corée du Sud, par exemple, l'État a été contraint d'élever son niveau d'avertissement de cybermenace autour de ses programmes de secours COVID-19.
Une menace qui pourrait se régionaliser
Sur le vol d'identifiants Microsoft, diverses campagnes ont été observées. Elles ont ciblé des milliers d'organisations dans le monde ces derniers mois, avec des messages liés à la vaccination qui renvoient les utilisateurs vers une page destinée à dérober les informations d'identification des utilisateurs. Vu que de plus en plus d'employeurs dans le monde demandent à leurs employés à la vaccination ou les y contraignent, il est probable que ce genre d'appât devienne de plus en plus courant.
S'agissant des malwares, Ave Maria, cheval de Troie d'accès à distance écrit en C++, s'est davantage diffusé auprès d'organisations et entreprises énergétiques et industrielles. Il est notamment capable de contrôler la webcam, de voler des mots de passe, d'enregistrer le contenu frappé et d'accéder au bureau à distance. La plupart du temps, les e-mails étaient déguisés en avis de santé liés à la COVID-19 et en mesures préventives émanant des employeurs.
RustyBuer, lui, s'affiche comme l'une des menaces les plus pesantes autour de la pandémie. Buer est un downloader qui aide à distribuer des charges utiles, comme des ransomwares.
Les experts s'attendent à une augmentation de la couverture médiatique autour de la COVID et du variant Delta partout dans le monde. Potentiellement, la distribution des menaces pourrait évoluer en fonction des régions du globe, en tant que matériel d'ingénierie sociale.
Source : Proofpoint
