Au cours du déroulement d’une enquête menée au sein d’une entreprise suisse, Sophos X-Ops a découvert que l’attaque avait débuté par un appel téléphonique qui pouvait sembler anodin. Le collaborateur ciblé aurait été contacté directement par un homme qui lui aurait indiqué avoir une livraison urgente à effectuer avant de demander à l’employé s’il accepterait de réceptionner l’envoi. Pour valider le nouvel envoi – prétendument pour des raisons de sécurité –, l’employé devait lire à haute voix un code envoyé par e-mail au cours de l’appel.

Cet e-mail, rédigé en français correct, ne contenait pas de texte dans le corps du message et présentait uniquement une image statique qui semblait correspondre à un document PDF joint. Guidé par l’escroc au téléphone, le collaborateur aurait cliqué sur l’image, déclenchant ainsi le téléchargement du malware. Juste après avoir incité oralement l’employé à ouvrir le fichier, les attaquants auraient alors commencé à prendre le contrôle du réseau.

« Cette attaque s’est révélée être extrêmement ciblée. Ce vendredi-là, il n’y avait qu’une seule personne présente dans les bureaux et il est probable que les attaquants savaient de qui il s’agissait. L’utilisation d’une image ressemblant à un e-mail est également une nouveauté plutôt bien pensée. Les documents PDF joints déclenchent souvent des alertes au sein du système, car ils servent régulièrement de véhicules pour les malwares et les e-mails qui accompagnent ce type de fichiers sont souvent filtrés par les logiciels anti-spams, » commente Andrew Brandt, principal researcher chez Sophos.

Après avoir pénétré au sein du réseau, les criminels ont utilisé le malware pour rechercher un large éventail d’informations, y compris les données de logiciels comptables, des cookies, l’historique de recherche du navigateur et les portefeuilles contenant des mots de passe et des cryptomonnaies. Afin de cacher l’exfiltration de ces données, les attaquants ont connecté le système ciblé à Tor (sur le dark web). Toutefois, dans ce cas précis, certains éléments auraient éveillé les soupçons de l’employé et celui-ci aurait décidé de déconnecter manuellement le câble Ethernet de son poste de travail, limitant ainsi les dégâts pour l’entreprise.

« Ce type d’attaque hautement sophistiquée montre jusqu’où les cybercriminels sont prêts à aller afin de contourner les outils de défense habituels et gagner la confiance des collaborateurs au sein d’une entreprise. Les attaques de phishing sont extraordinairement efficaces et nous avons vu les attaquants développer leurs tactiques d’ingénierie sociale en s’aidant des nouvelles technologies. Même si ceux-ci utilisent plus volontiers les SMS que les e-mails, cela ne signifie pas que les appels téléphoniques sont devenus obsolètes. Nous enseignons aux collaborateurs beaucoup de méthodes pour se protéger d’e-mails malveillants, mais nous ne nous attardons pas forcément sur les moyens de lutte contre les appels téléphoniques inhabituels. Dans ce cas précis, l’employé a réagi rapidement et a fait preuve d’une présence d’esprit exceptionnelle. En effet, cette attaque aurait pu avoir des conséquences beaucoup plus graves pour l’entreprise. C’est pourquoi, en l’absence de certitudes sur une demande formulée au téléphone par un interlocuteur inconnu, il est important de faire preuve de méfiance et de vérifier les informations directement avec l’entreprise émettrice, » conclut Andrew Brandt.