Une belle déclaration d'amour, un clin d'œil, et ce hameçonnage vous fait télécharger un rançongiciel.

Pourquoi créer de longs messages sophistiqués quand une bonne accroche se suffit à elle-même ? La dernière campagne d’hameçonnage repérée par IBM et Malwarebytes joue sur le plus passionné des sentiments : l’amour. Leur objectif est de contaminer les ordinateurs des cœurs en peine avec un virulent rançongiciel nommé Nemty. Cette campagne de phishing repérée par le Bleeping Computer ne touche pour l’instant que les pays anglophones, mais pourrait facilement être reprise en France.

Vous vous voyez déjà vivre une belle histoire d’amour… Mais à la place, vous avez un rançongiciel. // Source : Wikimedia

Un clin d’œil suffit

Pour piéger leurs cibles, les hackers écrivent en objet des emails leurs plus belles déclarations, parmi un panel romantique :  « Don’t tell anyone » [Ne le dis à personne], « I love you » [je t’aime], « Letter for you »  [Une lettre pour toi], « Will be our secret » [Ce sera notre secret], « Can’t forget you » [je n’arrive pas à t’oublier].

Aguichées par ces phrases flatteuses, les victimes cliquent sur l’email, et ouvrent un message… quasi vide. Les malfaiteurs ne prennent pas la peine de s’éterniser en longues phrases pour inciter leurs cibles à cliquer sur la pièce jointe. Ils se contentent de l’emoji clin d’œil, «  ;) », et compte sur la curiosité envers l’amour secret pour faire aboutir leur piège.

L’arnaque passe sous les radars

D’après l’équipe de recherche d’IBM X-Force IRIS, la pièce jointe est un fichier Zip, intitulé « LOVE_YOU_######_2020.zip », les # correspondant à la partie changeante du nom.

C’est ici que l’arnaque devient plus technique. Le contenu est haché et associé à un fichier JavaScript nommé LOVE_YOU.js. Ce dernier a l’avantage de ne pas être connu et donc de passer sous le radar de nombreux antivirus.

Un rançongiciel en lune de miel

Une fois la pièce jointe cliquée, le rançongiciel Nemty se déploie. Lorsqu’il est activé à distance par les hackers, il chiffre tous les fichiers du système informatique, et laisse une demande de rançon contre la clé de déchiffrement. Un fonctionnement classique pour un rançongiciel, mais Nemty a une particularité : il supprime la « shadow copy », la technologie de sauvegarde automatique de Windows. En conséquence, si l’utilisateur ne fait pas des sauvegardes complètes régulièrement sur des systèmes externes, il doit faire le choix entre payer ou perdre ses données. Pire : pour s’offrir un moyen de pression supplémentaire, les opérateurs du logiciel malveillant ont annoncé le mois dernier qu’ils allaient créer un blog et y poster les données des victimes qui refusent de payer.

Cette campagne d’hameçonnage rappelle celle du virus ILOVEYOU, démarrée en mai 2000. Elle avait piégé des millions d’utilisateurs avec de simples fausses lettres d’amour.

Crédit photo de la une : Megagreenleopard

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux