Une nouvelle vague d’attaque d’emails véhiculant un trojan bancaire s’est répandue comme une trainée de poudre. C’est l’éditeur Vade Secure, spécialisé dans la sécurité des emails qui a lancé l'alerte vendredi dernier en révélant la propagation de Trickbot (un cousin de Dridex) un ransomware polymorphique dans des centaines de milliers de boîtes de réception de ses clients. Les vagues détectées ont été très volumineuses et sur de très courtes durées, environ 1h en moyenne. En seulement deux heures, Vade Secure a bloqué 300 000 emails sur les 400 000 messageries que sa solution protège. Elle appartiennent pour la quasi-totalité à des entreprises françaises.
Dans un communiqué, Régis Bénard, consultant technique chez Vade Secure a précisé : « A l’échelle de tous nos clients corporate, le volume est très important. Cette vague est diffusée par le botnet Necurs, bien connu depuis le malware Dridex et qui a une force de frappe extraordinaire. En termes de volumétrie, nous n’avions pas vu une telle vague depuis l’an dernier à la même époque, où le volume cumulé entre plusieurs vagues sur une journée avait pu atteindre plus d’1 million d’emails incluant le célèbre ransomware Locky ».
Un malware polymorphique
Le spécialiste a également souligné que pour leur première vague d’attaque, les cybercriminels ont de plus usurpé une adresse légitime d’une personne localisée en France afin de passer à travers les outils de détection basés sur des signatures. L’email inclut ensuite plus classiquement une pièce jointe zip, incluant un fichier PDF avec un XLMS embarqué qui télécharge le trojan bancaire trickbot en charge utile. « Le trojan intègre des fonctionnalités que nous observons régulièrement désormais c’est à dire qu’il est polymorphique et donc capable de réaliser plusieurs actions sur demande », signale également Régis Bénard. « A titre d’exemple, il se met en veille s'il détecte la mise en route d'une analyse », a t-il ajouté.
Microsoft a informé ses clients de cette attaque le 14 juin via son fil Twitter.