Les attaques de phishing évoluent constamment et les dernières versions sont les plus dangereuses à ce jour, suggère un nouveau rapport.
Les chercheurs en cybersécurité de Trellix ont récemment repéré une version avancée du style d’attaque de rappel qui, si elle est réussie, prive les victimes de leur argent, verrouille leurs ordinateurs avec des rançongiciels et vole leur identité. (s’ouvre dans un nouvel onglet) données dans le processus.
Les attaques par rappel sont exactement ce qu’elles sonnent : les escrocs rappellent la victime et portent le coup final par téléphone.
Téléchargement de l'(anti)virus
Cette campagne particulière commence de la manière habituelle, avec un e-mail. La victime reçoit un e-mail de confirmation d’un achat qu’elle n’a jamais effectué, qui comprend un numéro de téléphone que la personne peut utiliser pour « annuler » la commande.
Habituellement, c’est là qu’un attaquant frapperait, utilisant l’appel téléphonique pour inciter la victime à télécharger un logiciel d’accès à distance, puis utilisant cet accès pour installer des logiciels malveillants, des rançongiciels ou d’autres virus.
Mais cette campagne va encore plus loin. Lorsque les victimes appellent le numéro fourni, la personne à l’autre bout prétend avoir vérifié la base de données et leur dit que l’e-mail est un spam. Ensuite, ils suggèrent que l’ordinateur de la victime est infecté par un virus et lui disent qu’un « spécialiste technique » les contactera plus tard dans la journée.
Le deuxième appel téléphonique amène la victime à télécharger de faux programmes antivirus sur son terminal, qui distribue un exécutable ClickOnce nommé support.Client.exe, qui installe l’outil d’accès à distance ScreenConnect.
« L’attaquant peut également afficher un faux écran de verrouillage et rendre le système inaccessible à la victime, où l’attaquant est capable d’effectuer des tâches sans que la victime en soit consciente », a déclaré Trellix.
Les chercheurs ont également découvert quelques variantes de la campagne, dont l’une distribue de faux formulaires d’annulation à travers lesquels les victimes partagent leurs informations personnelles. Pour recevoir le remboursement, les victimes doivent se connecter à leur compte bancaire. Ils finissent par être amenés à envoyer de l’argent aux escrocs.
« Ceci est réalisé en verrouillant l’écran de la victime et en lançant une demande de transfert sortant, puis en déverrouillant l’écran lorsque la transaction nécessite un OTP (mot de passe à usage unique) ou un mot de passe secondaire », a détaillé Trellix.
« La victime se voit également présenter une fausse page de remboursement réussi pour la convaincre de croire qu’elle a reçu le remboursement. L’escroc peut également envoyer un SMS à la victime avec un faux message de réception d’argent comme tactique supplémentaire pour empêcher la victime de soupçonner toute fraude. »
Via BleepingComputer (s’ouvre dans un nouvel onglet)