Virus par Email : Ce qu’il faut savoir pour les éviter

Devant la recrudescence des campagnes d’emails malicieuses, voici un article centralisé sur quelques éléments à savoir sur les techniques utilisées pour tromper les internautes et faire charger des malwares.
Sachant qu’il existe déjà un article (assez long) sur le forum qui récapitulent un peu l’historique des campagnes emails et les techniques utilisées, cette nouvelle page sera plus succincte.
L’article en question se trouve sur le forum malekal.com : Les virus par email

laptop and sign virus (done in 3d)

Présentation des virus par mail

Le but est de vous faire croire que l’email est légitime pour vous faire charger la pièce jointe ou éventuellement tirer partie d’un moment de fatigue/étourderie.
Les campagnes d’email du Ransomware Locky posent de gros problèmes, car si d’habitude, on a plutôt affaire à des mails anglophones imitant des services américains (invoice, eFax etc), Les campagnes du Ransomware Locky reprennent de véritables emails français.
Ce sont de faux emails de factures, compta etc qui visent les entreprises.

Le dernier email reçu aujourd’hui est assez édifiant et mixe des techniques anciennes pour tromper les internautes.
Dans un premier temps, l’adresse de l’expéditeur DE/From – comme vous pouvez le voir ci-dessous, le mail est envoyé depuis une adresse @malekal.com vers une de mes adresses emails.
Le but donc ici est de faire croire que le mail est légitime et émane d’un service de scan (ces campagnes visent plutôt les entreprises).
Une chose qui n’est malheureusement pas encore bien intégrée par les internautes et je vais le répéter : il ne faut JAMAIS se fier à l’adresse de l’expéditeur

Tout comme il est possible dans la vraie vie de recevoir une lettre écrite par un usurpateur X signant en Monsieur Y, il est tout à fait possible d’envoyer des emails avec l’adresse que l’on veut.
Bien qu’il existe des mécanismes de vérification, l’usurpation d’identité est possible, donc je le répète NE JAMAIS SE FIER AU CHAMPS FROM/DE.
Pour illustrer ceci, j’avais fait un article en 2008 : Mail : sources et entêtes de l’enveloppe & du message
(A l’inverse, il ne faut pas tomber dans la paranoïa en pensant que tout email reçu par vos amis sont faux)

Ransomware_Locky_Email_trompeur

La seconde technique utilisée est l’utilisation d’une pièce jointe avec une double extension, dans notre cas, forum@malekal.com_XXX.pdf.zip
Pourquoi ? car par défaut Windows masque les extensions de fichier, de ce fait, la victime verra un fichier portant le nom forum@malekal.com_XXX.pdf, le .zip ne sera pas visible.
Le but est de faire croire qu’il s’agit ici d’un fichier PDF alors qu’en réalité, il s’agit d’un fichier zip.
Bien entendu, Windows va coller une icône zip et pas PDF.
Une autre technique permet de forcer une icône PDF.
Cette technique était aussi utilisé en 2007, du temps des vers MSN, où les attaquants envoyaient des fichiers IMG-0005.zip.jpg contenant un .exe avec une icône image.
C’est parfois repris encore par des campagnes d’Emails moins bien faites puisque ici, le corps du mail est vide et l’adresse de l’expéditeur pas vraiment crédible pour un français :

Virus_Email_Double_extension

ou encore de faux message vocaux (New voice mail message from 0XXX) avec des fichiers .wav.zip

Ransomware_Locky_faux_message_vocauxet parfois, les auteurs de virus/malwares utilisent des astuces pour tromper les internautes…
Par exemple, ce fichier zip que l’on ouvre avec le programme de Windows, on voit un joli .pdf
jar_malicious

mais si on agrandit la colonne fichier, on voit qu’en réalité, qu’il s’agit d’un fichier .jar
en double-cliquant, cela va lancer java et télécharger et installer un Trojan sur l’ordinateur.

jar_malicious_2

Pensez aussi que les documents Word ou Excel peuvent être malicieux, à travers l’utilisation de Macro : Campagnes de courriels piégés avec Word/Excel malicieux

Des campagnes de plus en plus ciblées et en français, exemple : Email Malicieux « Candidature ANPE » (Nemucod / Cerber)

Mail_candidature_ANPE

Mail_candidature_ANPE_2

Quelques contre-mesures face aux virus par emails

L’attitude à adopter est la suivante : au moindre doute ou si vous sentez que le mail est inhabituel, n’ouvrez pas pièce jointe.
Pour les pros, vous pouvez soumettre le fichier sur VirusTotal : Comment scanner un fichier

Afficher les extensions de fichiers peut être utile, cela se fait dans les options des dossiers puis onglet Affichage :

et surtout : Comme je l’avais mentionné dans une précédente entrée du blog, les attaquants utilisent des TrojanDownloader.JS (JavaScript), la désactivation de Windows Script HOST permet de limiter la casse : Comment les virus informatiques sont distribués et Comment se protéger des scripts malicieux sur Windows.

En vidéo le ransomware Locky bloqué par la désactive de Windows Script Host :

Les pièces jointes Word/Excel malicieuses :

Tenez vous aussi au courant des dernières tactiques utilisées !

Côté Spam et Pourriel, c’est à dire des mails commerciaux ou menant à des arnaques non solicités, rendez-vous sur la page SPAM / Pourriel

Liens liés aux virus informatiques

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 1 667 times, 2 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *