Bredolab ou les fausses confirmations de commande !

Un malware directement en pièce jointe d’un spam est plutôt rare, par rapport à la multitude de messages indésirables « classiques »  que nous nous avons l’habitude de traiter dans les laboratoires BitDefender. Mais les choses ont quelque peu changé depuis les dernières vacances. La semaine dernière, je vous ai parlé de la remise à zéro de mots de passe Facebook, aujourd’hui, nous sommes les témoins d’une campagne qui utilise des techniques d’ingénierie sociale pour  vous piéger avec une pièce jointe infectée.

Voilà comment cela se déroule :

Un nouveau message vous attend dans votre boîte de réception. Si vous avez déjà effectué un achat sur Internet,  son contenu vous semblera familier. Si familier que votre curiosité vous conduira peut-être à double-cliquer sur la pièce jointe. Cela commence donc aussi simplement qu’une arnaque via un spam. Mais cela ne s’arrête pas là.

Le message indique que vous avez reçu « votre » confirmation de commande.  Mais de « quelle commande » s’agit-il ?. Vous avez raison de vous poser la question puisque vous ne vous souvenez pas avoir passé de commande sur Internet ces derniers jours.

Ce que vous ne savez pas encore, c’est que ce message « d’achat confirmé » est un faux, le numéro de commande ne correspondant d’ailleurs à aucun achat réel.  Il s’agit en fait d’un faux reçu de commande qui dissimule un malware très dangereux. Il y a toujours un risque qu’étant très occupé à gérer plusieurs choses, vous cliquiez dessus par inadvertance ou curiosité, pour y jeter un œil en croyant qu’il s’agit d’un message légitime.

Fig 1 : Le malware Bredolab se fait passer pour un site de e-commerce légitime, via une fausse confirmation de commande et un faux reçu.

 

Il y a plusieurs indices qui peuvent vous mettre la puce à l’oreille…si vous prenez le temps d’y penser : le fait de ne pas reconnaître la commande, la date, la société et la somme d'argent devraient vous permettre de comprendre qu’il ne faut pas ouvrir cette fameuse pièce jointe et que cet e-mail ne vous concerne en rien.

Cependant si vous cliquez malgré tout sur le lien vous allez permettre au malware d’exécuter sa charge utile, plus connue sous le nom de « Gen:Variant.Bredo.21 », une variante du bien-connu Bredolab, un code malveillant dont je parlais dans mes précédents articles.

Mais finalement quel est le réel danger après avoir ouvert la pièce jointe ? Ce malware, généralement déguisé sous la forme d’un document Word, s’injecte dans de nombreux processus tels que « explorer.exe ». Puis il commence par télécharger des rogues, des faux programmes de sécurité qui vont ouvrir de nombreuses pop-ups en cascade sur votre PC. Ces dernières vous informent alors que votre PC court un grave danger et que vous avez besoin d'un antivirus pour résoudre le problème. Bien entendu, il vous proposera une solution moyennant finance sans pour autant désinfecter le moindre fichier de votre ordinateur bien sûr.

La morale de cette histoire est simple : n'ouvrez jamais la pièce jointe d'un e-mail émanant d’un expéditeur  inconnu, surtout quand celle-ci prétend contenir : une carte de vœux, des mises à jour de sécurité ou des bons de commande. Essayez d’abord de détecter des éléments suspects (par exemple le sujet de l'e-mail fait référence à un numéro de commande, mais ce dernier est différent dans le corps du message) et protégez votre ordinateur avec une vraie solution de sécurité. Si vous souhaitez profiter du printemps sans avoir à vous soucier de la sécurité de votre système, téléchargez donc la version d'essai de BitDefender Internet Security 2011ou de notre outil de sécurité gratuit de sécurisation du surf TrafficLight.