Les virus qui se cachent derrière le COVID-19

Cédric CAILLEAUX Cédric CAILLEAUX

Cédric CAILLEAUX

RSSI / Correspondant à la Protection des Données Personnelles - Axians Communication & Cloud

Published Mar 16, 2020
+ Follow
Aucun texte alternatif pour cette image

Des pirates informatiques profitent malheureusement de l’angoisse autour de l’actualité coronavirus pour lancer de nouveaux virus mais cette fois « informatiques ».


Une cartographie permettant de suivre l’épidémie du Coronavirus « vérolée »

Cette alerte tourne depuis 1 semaine sur les réseaux sociaux mais il est plus que nécessaire de la rappeler. En effet, cette information relayée par Reason Lab précise que des Cybercriminels profitent des craintes et angoisses des citoyens suite au COVID-19 pour diffuser un logiciel malveillant déguisé en une carte mondiale du Coronavirus appelée « Coronavirus Map » qui permet en temps réel de suivre l'évolution de l'épidémie.

Le vecteur d’attaque reste toujours le même à savoir une campagne de phishing par e-mail ou via un moteur de recherche vous redirigeant vers des sites « illégitimes ». Le malware est dérobé derrière une application « Corona-virus-map.com.exe » qui affiche la célèbre carte d’impact de la pandémie de l’Université Johns Hopkins, école de santé publique des États-Unis. Il faut savoir que cette carte existe réellement mais qu’elle n’est disponible qu’en version Web et non par une application téléchargeable.

Lien vers la Map « officielle » : https://www.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6

Le malware et ses variantes, connus depuis quelques années sous le nom de « AZORult », sont de vrais aspirateurs de contenu de votre ordinateur jusqu’à y installer des portes dérobées de type « Cheval de Troie » et pouvant générer un compte d’administrateur caché pour activer les connexions via le protocole de bureau à distance (RDP).

Prolifération des noms de domaines « malveillants » sur le thème du Coronavirus

Ce type de pratique n’est malheureusement pas le seul cas « isolé ». Des chercheurs de la société de sécurité DomainTools ont constaté qu’il y avait eu une augmentation de l’enregistrement des noms de domaine liés au coronavirus et au COVID-19. Par ailleurs selon un post du Blog de Checkpoint début du mois de mars, plus de 4 000 domaines sur le thème des coronavirus ont été enregistrés depuis janvier. De ce nombre, 3% ont été signalés comme malveillants et 5% comme suspects, soit 50% de plus que le taux de malveillance de tous les autres domaines enregistrés au cours de la même période. Un grand nombre de ces domaines seront probablement utilisés pour des tentatives de phishing.

Au cours de ses recherches, l’équipe a découvert un domaine « coronavirusapp[.] site » qui habilement suggère aux utilisateurs à installer une application Android pour les aider à suivre la pandémie de coronavirus en temps réel. Mais cette application n’est rien d’autre qu’une passerelle du ransomeware CovidLock, qui change le mot de passe de l’écran de verrouillage, et demande aux utilisateurs de payer 100 $ en BitCoin pour le déverrouiller. Si une victime ne paie pas la rançon dans les 48 heures, CovidLock menace d’effacer tous les fichiers qui sont stockés sur le téléphone , y compris les contacts, les photos et les vidéos.

Fraude chiffrée en Grande Bretagne

Le Bureau National du Renseignement des Fraude au Royaume Uni (NFIB), unité de police responsable de la collecte et l'analyse du renseignement ayant trait à la fraude et la criminalité cybernétique, estime que les escroqueries en Grande Bretagne liées au coronavirus ont couté à ses concitoyens près 900 000 Euros sur le seul mois de février. 21 rapports ont été remontés à la NFIB et concernaient pour certains d’entre eux l’achat de masques protecteurs sur des sites frauduleux mais également via des e-mails de phishing incitant les personnes à ouvrir des pièces jointes malveillantes ou à révéler des informations personnelles et financières sensibles et prétendant appartenir à un organisme de recherche affilié à l'Organisation Mondiale de la Santé (OMS).

Points d’attention

Le coronavirus va continuer de se propager et nous allons voir apparaitre prochainement de nombreuses applications malveillantes qui vont être développées pour vous permettre de surveiller et cartographier l’ampleur du COVID-19 et qui vous seront proposées « gratuitement ». Soyez très attentifs et comme le rappelle le Centre International de Vaccinations internationales de chez Air France : « Pour s’informer en restant protégé, il est donc conseillé de privilégier les sources officielles, comme les grands sites d’info (Le Monde, Le Figaro, Libération, Le Point, etc…) et les organisations de santé officielles (OMS, Ministère des Solidarités et de la Santé, Santé publique France), et se méfier des autres sources ».

Et bien évidemment, respecter les règles de bon sens et toute la sensibilisation qui est faite autour du phishing et qui est plus que jamais d’actualité.

 

CAILLEAUX Cédric - Responsable Technique CyberSecurity & RSSI Axians France - Publié le 16 mars 2020

 Sources :

https://hub.jhu.edu/novel-coronavirus-information/

 https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats-threat-analysis-report/

https://www.vaccinations-airfrance.fr/actualites/piratage-monde-2020

https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-tracking-app-coughs-up-ransomware

https://www.actionfraud.police.uk/alert/coronavirus-scam-costs-victims-over-800k-in-one-month

https://blog.checkpoint.com/2020/03/05/update-coronavirus-themed-domains-50-more-likely-to-be-malicious-than-other-domains/

 

Laurent Aubry

4y

Bravo Cédric, article très pédagogique sur la capacité d'adaptabilité des cyberattaquants à exploiter l'actualité et la psychologie humaine pour générer de nouvelles menaces. On peut aussi apprécier la créativité en la matière...

Like
Reply
1 Reaction
See more comments

To view or add a comment, sign in

More articles by this author

See all

Explore topics