Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Des pirates cachent leurs attaques dans de faux courriels d’imprimante

Edition du 28/09/2011

Selon le dernier rapport de sécurité de Symantec, les pirates ont trouvé un ingénieux moyens pour duper les utilisateurs : expédier des courriels vérolés qui semblent provenir des imprimantes multifonctions de l’entreprise.

Les hackers ont trouvé une nouvelle ruse pour tromper les utilisateurs et les inciter à ouvrir des pièces jointes malveillantes : leur envoyer des messages mails qui ont l’air de venir des imprimantes multifonctions de leur environnement de travail familier. En effet, de nombreuses imprimantes sont aujourd’hui capables d’envoyer des documents numérisés. « C’est une nouvelle tactique d’attaque que nous n’avions pas repéré jusqu’à présent », explique Paul Wood, analyste senior en intelligence informatique chez Symantec.cloud, une branche de service de messagerie et de sécurité Internet au sien de l’entreprise de sécurité.

Invariablement, ces courriels contiennent une sorte de cheval de Troie qui peut être utilisé pour télécharger d’autres malwares ou voler des documents sur l’ordinateur visé. Dans son rapport mensuel « Symantec Intelligence Report » publié hier, l’entreprise donne quelques exemples de courriels repérés récemment. À première vue, les emails ne suscitent pas la méfiance, affichant dans la rubrique objet un banal « Fwd : Document numérisé envoyé par HP Officejet ». Dans le courriel on peut lire aussi que « le document joint a été numérisé et envoyé à partir d’une imprimante Hewlett-Packard HP Officejet 05701J. » Celui-ci est signé « Envoyé par Morton. »

Un courriel qui à l’air d’être interne à l’entreprise

Comme le fait remarquer Paul Wood, pour tromper sur l’expéditeur, les scammmers ou escrocs s’arrangent en général pour que le courriel comporte le même nom de domaine que celui du destinataire. Certains des messages récupérés par Symantec semblent, si l’on n’y regarde pas de trop près, provenir de la messagerie interne de l’entreprise. Ce qui augmente la probabilité de faire ouvrir la pièce jointe par la personne recevant le message. Ce qui est étrange, c’est que celle-ci se présente sous forme de fichier « .zip ». Or, selon le chercheur, la plupart des imprimantes avec fonction de messagerie ne peuvent pas envoyer de fichier « .zip ». « Elles ne peuvent envoyer qu’un fichier image, » a t-il confirmé.

Certes, Windows sait ouvrir des fichiers « .zip », mais cette méthode prouve que l’objectif des escrocs est de masquer l’extension « .zip » aux utilisateurs qui font appel à des outils tiers pour décompresser le contenu des messages. Si bien qu’avec certains outils d’archivage, la pièce jointe malveillante apparaît en fait avec une extension de fichier « .doc » ou « .jpg ». « Les pirates ont trafiqué les noms de fichier afin de ne pas éveiller les soupçons, » a ajouté Paul Wood. « Cette technique ressemble à d’autres méthodes d’ingénierie sociale observées dernièrement, avec l’envoi de courriels prétendant provenir d’émetteurs connus, mais transportant diverses pièces jointes malveillantes. »

Article de Jean Elyan avec IDG NS

Source : lemondeinformatique.fr