Une nouvelle campagne d’hameçonnage a été signalée par Microsoft. Elle utilise des documents Excel qui sont en rapport avec la crise sanitaire actuelle et incite l’utilisateur à ouvrir le mail et les pièces jointes en se faisant passer pour un établissement de santé.
Cette campagne circule au moins depuis le 12 mai dernier. L’objet des mails interceptés est « rapport de situation » et l’expéditeur est Johns Hopkins Center.
« Les centaines de fichiers Excel uniques, envoyés dans cette campagne, utilisent des formules très obscures. Mais tous se connectent à la même URL pour télécharger la charge utile. NetSupport Manager est un outil très pratique pour les pirates informatiques, permettant d’accéder à distance et d’exécuter des commandes sur des machines compromises » déclare Microsoft Security Intelligence.
Le détournement d’un logiciel de support et de gestion à distance
Si l’utilisateur ouvre la pièce jointe, alors NetSupport Manager s’exécute et s’installe automatiquement sur l’ordinateur après que l’utilisateur ait activé le contenu. Or ce logiciel peut potentiellement être détourné pour prendre complètement le contrôle à distance du système d’exploitation de l’appareil et même exécuter des commandes.
L’équipe de Microsoft Security Intelligence donne plus d’informations au sujet de cette campagne sur Twitter. L’expéditeur de cet e-mail se fait passer pour un centre hospitalier et prétend vous fournir des informations précises sur des données liées au Covid-19 dans votre région et même votre Ville.
Pour ce faire, un fichier Excel prétendument rempli de ces fameuses informations est joint au mail. Il ne contient finalement aucune donnée locale mais uniquement le nombre total de décès au niveau national. L’utilisateur est alors invité à activer le contenu et c’est à ce moment que NetSupport Manager est installé et que l’ordinateur se trouve infecté.
Ce logiciel est légitime lorsqu’il est installé par un service de dépannage à distance et que l’utilisateur consent à son utilisation. Il devient illégitime si le service de dépannage ne le désactive pas ou bien si à l’origine il est installé par une personne malveillante à l’insu de l’utilisateur. Ainsi les communautés de hacking peuvent détourner l’utilisation de ce type de logiciel pour en faire un RAT.
La personne victime de cette campagne de phishing doit partir du principe que toutes les données présentes sur son PC ont été compromises et subtilisées par les pirates informatiques. Ainsi une fois l’ordinateur nettoyé, tous les mots de passe doivent absolument être changés.
Il convient donc d’être comme toujours extrêmement vigilant concernant l’ouverture de mails dont vous ne connaissez pas l’expéditeur et qui pourrait surfer sur la crise sanitaire actuelle pour susciter votre curiosité.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Mais qui utilise encore excel?