le 21 mars 2018 – Vade Secure a détecté et bloqué une vague massive de trojan bancaire débutée depuis hier midi et actuellement toujours en cours.

Sébastien Gest, Évangéliste technique de Vade Secure explique : « A l’heure actuelle, l’attaque est toujours en cours et Vade Secure a déjà bloqué depuis hier 12h plus de 145 000 emails, contenant le Trojan, envoyés aux entreprises exclusivement françaises. D’après le site VirusTotal, plus de la moitié des antivirus du marché ne sont toujours pas en capacité de bloquer cette attaque. Rappelons que les attaques de Trojan sont plus insidieuses et indolores qu’un ransomware car elles ne chiffrent pas les données et n’ont pas un impact direct sur l’activité d’une entreprise. Mais leur impact peut être tout aussi grave, voire encore plus, puisqu’une fois le Trojan installé les cybercriminels peuvent agir à leur guise sur le réseau de la victime, extraire des informations sensibles de type bancaires, personnelles, propriété intellectuelle, et autres ».

Ciblant les entreprises françaises, l’email infecté se présente sous la forme d’une notification de facture du logiciel de gestion de comptabilité Intuit.

 

Comment fonctionne cette attaque ?

Pour récupérer sa facture, le destinataire de cet email doit cliquer sur le bouton « Afficher la facture ».

Exemple_trojan

 

En cliquant il est redirigé vers un domaine légitime hébergé aux USA « venusagency.me » puis redirigé une seconde fois vers un fichier .zip contenant un fichier Javascript obfusqué.

 

En cliquant sur ce fichier Javascript, un fichier nommé ‘facture.pdf’ est téléchargé puis enregistré sur la machine de l’utilisateur courant dans le dossier ‘Temp’ sous le nom de ‘Z8eoT7rn.exe’.

D’après les premières analyses, ce fichier exécutable semble être un Trojan Bancaire.

 

Quelques conseils et réflexes à avoir

Sébastien Gest : « Ce malware n’est pas détecté par la majeure partie des antivirus du marché, quelques conseils s’imposent ».

  • Nous conseillons bien sûr de ne pas ouvrir cette archive.
  • Si vous avez ouvert cette archive et cliqué sur le fichier javascript, contactez votre administrateur système et réseau et débranchez votre machine de tout réseaux WIFI, Ethernet.