Tout commence par un spam
Au démarrage, on retrouve un spam dans sa boite au lettres. Celui-ci est très simpliste et peu engageant : Du texte "brut" sans fioritures ni images, tout en anglais (avec même des fautes!) et pas d'URL pointant vers le cheval de Troie mais le fichier a été directement mis en pièce jointe.
Une fois n'étant pas coutume, l'antivirus de messagerie a été en mesure de détecter qu'il s'agissait d'un fichier infecté. Il l'a donc automatiquement remplacé par un fichier texte contenant quelques informations sur le cheval de Troie bloqué.
Caractéristiques du cheval de Troie
Une rapide analyse nous donne comme infos :
- Le cheval de Troie (Bredo-BG) communique avec l'extérieur via HTTP.
- L'adresse IP vers laquelle il se connecte est connue : Un serveur dédié aux Pays-Bas.
- Cette adresse IP est présente dans des listes noires
Protections multiples
La mode (dans le monde de la sécurité) étant à la ceinture et aux bretelles ; en sus du premier rempart de protection qu'est l'antivirus de messagerie ; il conviendra de mettre en place un système de filtrage d'URL au niveau de votre accès Internet : Celui devrait être notamment configuré pour bloquer toutes les connexions à destination d'adresses IP de "mauvaise réputation".
Avec un tel mécanisme, si l'antivirus ne détecte rien, ce cheval de Troie ne pourra pas se connecter vers son centre de commande, ceci empêchant tout contrôle à distance ou envoi d'informations sensibles vers l'extérieur.
Une attaque assez simple
En tout cas, on pourra conclure que celle attaque est plutôt binaire : Le nombre de "victimes" devrait tendre vers zéro... C'est plutôt une bonne chose.
Remerciements
Un "Merci" à François T. pour ces mails de phishing en provenance directe des plateformes de messagerie d'Orange Business.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens