Nous assistons depuis de nombreux mois à l'industrialisation des malware avec l'émergence de nombreux outils (Ransomware As A Service) et de nouvelles stratégies d'infections (Faille Zéro Day).
Dans le but de toujours faire plus de dégâts, les malware évoluent.
Nous assistons depuis quelques semaines à une infection "à la carte". Celle-ci est basée sur la géolocalisation de l'IP de votre machine. Les malware et la géolocalisation, un nouveau type d'attaques qu'il faut connaître pour mieux se protéger.
Que vous soyez en Angleterre, au Luxembourg ou en Belgique, le malware téléchargé au moment de l'infection ne sera pas le même.
Les malware et la géolocalisation, comment cela fonctionne ?
Nous assistons depuis la fin du mois de septembre à une nouvelle technique de déploiement de la charge malicieuse.
Après avoir cliqué sur la pièce jointe, le code malicieux s'exécutant va identifier dans un premier temps la localisation géographique de votre machine. Il envoie une requête à un service en ligne parmi une liste présente dans le code source ( ipinfo.io, geoplugin.net, freegeoip.net ).
Une attaque qui n’est pas exclusive au ransomware.
Après avoir identifié la localisation, une règle de validation va associer une URL de payload (le malware) à télécharger. Au travers des URL, nous retrouvons le payload du ransomware Locky et celui du trojan bancaire Trickbot.
Notons au passage que nous retrouvons des domaines d’entreprises françaises dans la liste :
- autoecole-jeanpierre.com
- autoecoleboisdesroches.com
La liste complète des URL est disponible ici.
Quel est l’intérêt de ce nouveau mode de distribution ?
Dans un contexte mondialisé, ce nouveau mode de distribution va permettre de toucher des entreprises sous différentes formes en différents lieux, mais dans un même laps de temps.
Les professionnels de la sécurité doivent maintenant prendre en compte des attaques coordonnées. Ces attaques peuvent cibler une zone géographique plutôt qu’une autre.
Vous souhaitez en apprendre davantage sur notre solution de sécurité des emails innovante ? Consultez la newsletter que nous avons rédigée en collaboration avec Gartner sur la Lutte contre les attaques par email grâce à un système de protection prédictif ou contactez-nous pour obtenir davantage d’informations ou une démonstration de faisabilité.
