Pourquoi créer de longs messages sophistiqués quand une bonne accroche se suffit à elle-même ? La dernière campagne d’hameçonnage repérée par IBM et Malwarebytes joue sur le plus passionné des sentiments : l’amour. Leur objectif est de contaminer les ordinateurs des cœurs en peine avec un virulent rançongiciel nommé Nemty. Cette campagne de phishing repérée par le Bleeping Computer ne touche pour l’instant que les pays anglophones, mais pourrait facilement être reprise en France.
Vous vous voyez déjà vivre une belle histoire d’amour… Mais à la place, vous avez un rançongiciel. // Source : Wikimedia
Un clin d’œil suffit
Pour piéger leurs cibles, les hackers écrivent en objet des emails leurs plus belles déclarations, parmi un panel romantique : « Don’t tell anyone » [Ne le dis à personne], « I love you » [je t’aime], « Letter for you » [Une lettre pour toi], « Will be our secret » [Ce sera notre secret], « Can’t forget you » [je n’arrive pas à t’oublier].
Aguichées par ces phrases flatteuses, les victimes cliquent sur l’email, et ouvrent un message… quasi vide. Les malfaiteurs ne prennent pas la peine de s’éterniser en longues phrases pour inciter leurs cibles à cliquer sur la pièce jointe. Ils se contentent de l’emoji clin d’œil, « ;) », et compte sur la curiosité envers l’amour secret pour faire aboutir leur piège.
L’arnaque passe sous les radars
D’après l’équipe de recherche d’IBM X-Force IRIS, la pièce jointe est un fichier Zip, intitulé «LOVE_YOU_######_2020.zip », les # correspondant à la partie changeante du nom.
C’est ici que l’arnaque devient plus technique. Le contenu est haché et associé à un fichier JavaScript nommé LOVE_YOU.js. Ce dernier a l’avantage de ne pas être connu et donc de passer sous le radar de nombreux antivirus.
Un rançongiciel en lune de miel
Une fois la pièce jointe cliquée, le rançongiciel Nemty se déploie. Lorsqu’il est activé à distance par les hackers, il chiffre tous les fichiers du système informatique, et laisse une demande de rançon contre la clé de déchiffrement. Un fonctionnement classique pour un rançongiciel, mais Nemty a une particularité : il supprime la « shadow copy », la technologie de sauvegarde automatique de Windows. En conséquence, si l’utilisateur ne fait pas des sauvegardes complètes régulièrement sur des systèmes externes, il doit faire le choix entre payer ou perdre ses données. Pire : pour s’offrir un moyen de pression supplémentaire, les opérateurs du logiciel malveillant ont annoncé le mois dernier qu’ils allaient créer un blog et y poster les données des victimes qui refusent de payer.
Cette campagne d’hameçonnage rappelle celle du virus ILOVEYOU, démarrée en mai 2000. Elle avait piégé des millions d’utilisateurs avec de simples fausses lettres d’amour.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
