Malgré un vote terminé le 3 novembre, l'élection présidentielle américaine n'a toujours pas de vainqueur. Les cybercriminels s'engouffrent dans cette attente étouffante avec une campagne de phishing qui sous-entend la réussite d'une ingérence interne ou étrangère.

Comme à leur habitude, les cybercriminels se jettent sur l’actualité pour augmenter les chances de réussite de leurs campagnes de phishing. L’annonce des résultats de l’élection présidentielle, qui s’éternise dans certains États comme la Pennsylvanie ou le Nevada, est une parfaite opportunité pour eux, comme l’a découvert l’équipe de chercheurs de MalwareBytes. De très nombreux Américains sont pendus aux chaînes d’informations, à l’affût de la moindre évolution dans ce scrutin très serré.

Les cybercriminels ont trouvé le terreau de leur prochain phishing dans les éructations du président Donald Trump et des Républicains sur les réseaux sociaux. Dans une suite de messages publiés sur Twitter — cachés par les modérateurs pour la plupart — le candidat sortant accuse ouvertement ses opposants démocrates d’essayer de truquer les votes pour voler la victoire.

Biden remonte dans l’élection, au grand désarroi de Trump et ses soutiens. // Source : Gage Skidmore/CC

Trump était en tête du scrutin dans plusieurs États qui peuvent faire basculer l’élection (Georgie, Michigan, Wisconsin, Pennsylvanie…), suite au dépouillement des votes en bureau du 3 novembre. Mais désormais, les autorités électorales comptent les millions de voix envoyées par courrier en amont. Et il s’avère que dans de nombreux États, ces votes de lecteurs pour la majorité motivés par la situation sanitaire sont majoritairement à l’avantage de Joe Biden. Ce dernier grignote son retard, au point d’être passé devant dans certains États.

C’est dans ce cadre que les malfaiteurs déploient leur phishing, un email qui sous-entend offrir des informations sur une interférence sur l’élection. L’objectif : déployer Qbot, un malware bien connu, capable de dérober les données de la victime.

Re : un virus

« Les emails malveillants sont écrits comme s’ils répondaient à un précédant mail, de façon similaire à ce que fait Emotet, qui peut ajouter de la légitimité et rendre la détection plus compliquée », relèvent Jérôme Segura et Hossein Jazi, co-auteurs du billet de blog de MalwareBytes. Le « Re : » dans l’objet de l’email leur permet de faire comme s’ils discutaient déjà avec leur cible. Ils font référence à un objet d’email bien réel, qu’ils ont dérobé par un autre biais. Le contenu de leur message est donc très simple : « Bonjour, lis le document et dis-moi ce que tu en penses, merci. »

Pas de signature à l’email, mais elle contient bien une pièce jointe, un .zip intitulé « ElectionInterference » suivi de 8 ou 9 chiffres. Entre le discours de Trump et le spectre de l’ingérence russe sur l’élection de 2016, les partisans des deux bords politiques pourraient être tentés d’ouvrir la pièce jointe.

Le fichier Zip permet d’extraire un document Microsoft Excel, qui imite un fichier sécurisé par DocuSign. Les utilisateurs sont invités à autoriser les macros pour pouvoir le lire. S’ils le font, le piège des pirates se referme sur eux : un ensemble de fichiers malveillants sera téléchargé depuis un code écrit dans une des cellules du tableau. Ils permettront d’installer le cheval de Troie Qbot, qui contactera les serveurs de commande et contrôle des malfaiteurs, à la recherche d’instructions. Il pourra exfiltrer des fichiers confidentiels de la victime, comme ses informations bancaires, mais aussi s’emparer de certains emails que les hackers utiliseront dans d’autres campagnes de phishing.

Le Bleeping Computer ajoute que Qbot peut aussi servir à installer des portes dérobées pour installer d’autres malwares. C’est pourquoi il est utilisé par certains gangs particulièrement surveillés, comme Emotet, ou certains rançongiciels. L’élection américaine a échappé aux scénarios catastrophes, mais elle pourrait tout de même servir à causer des dégâts.

Crédit photo de la une : CCO/WIkimedia

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux