Tech

Alerte phishing : un email ANBSC installe un malware en un clic — voici comment éviter l’infection

Une campagne de phishing ciblée : attention à l’email frauduleux se faisant passer pour l’ANBSC

Les équipes du CERT‑AgID (Computer Emergency Response Team de l’Agence pour l’Italie Numérique) viennent de mettre au jour une campagne de phishing sophistiquée qui cible des destinataires par e‑mail en se faisant passer pour une agence nationale italienne. Le message, reçu fin février, invite la victime à consulter une prétendue irrégularité fiscale et l’encourage à cliquer sur un lien. Derrière ce simple clic se cache une chaîne automatisée de téléchargements et d’exécutions visant à installer un logiciel malveillant de type RAT (Remote Access Trojan) sur la machine de la victime.

Comment repérer le faux e‑mail : indices évidents

Malgré la complexité technique du stratagème, le message présente dès le départ des signes d’amateurisme qui auraient dû alerter un destinataire vigilant. L’objet de l’e‑mail (« Informare servicii online ANBSC ») comporte des erreurs linguistiques et orthographiques manifestes. L’expéditeur prétend appartenir à l’ANBSC (l’Agence nationale pour l’administration et la destination des biens saisis et confisqués), mais le corps du message réfère à une « autre agence » inexistante, ce qui trahit une malfaçon dans la préparation de la campagne.

Le déroulé technique de l’attaque : du ZIP au code injecté

La mécanique révélée par les experts du CERT‑AgID est méthodique et automatisée :

  • Le clic sur le lien télécharge un fichier ZIP sur la machine de la victime.
  • Ce ZIP contient un fichier URL qui, une fois ouvert, lance un script WSH (Windows Script Host).
  • Le script JavaScript escalade l’opération : il télécharge un fichier batch dans le dossier Téléchargements et le lance.
  • Un document PDF est affiché (pour amadouer l’utilisateur) ; parallèlement, le script vérifie la présence d’un exécutable python.exe.
  • Si python.exe manque, le script télécharge une version embarquée (3.14.0) depuis python.org et l’installe localement.
  • Trois fichiers supplémentaires (sb.py, new.bin et a.txt) sont ensuite récupérés ; sb.py décrypte new.bin à l’aide des clés contenues dans a.txt, puis le payload final est injecté dans le processus explorer.exe afin de masquer son activité.
  • Enfin, le serveur de commande et contrôle (C2) est localisé via un lien publié sur Pastebin, permettant aux attaquants de prendre la main à distance sur la machine compromise.
    • Article à lire  Bientôt autorisé aux frontières US : on vous exigera vos 5 ans de posts sur les réseaux sociaux — préparez‑vous à ce choc de vie privée

    Le flux est conçu pour rendre l’analyse et la détection plus difficiles : injection dans explorer.exe, utilisation d’outils légitimes (Python), et recours à des sources publiques (Pastebin) pour récupérer des paramètres de configuration.

    Quel malware est visé ? XWorm suspecté

    Selon les informations collectées et les corrélations observées (notamment sur VirusTotal), le serveur C2 semble lié à XWorm, un RAT connu pour permettre un contrôle à distance étendu : exfiltration de données, prise de captures d’écran, enregistrement audio, exécution de commandes, déploiement de modules additionnels. Néanmoins, au moment de l’analyse, le payload final n’a pas été formellement confirmé par les équipes comme étant XWorm — la prudence reste de mise tant que des éléments forensiques définitifs n’ont pas été extraits.

    Pourquoi cette campagne est‑elle dangereuse ?

    Plusieurs caractéristiques rendent l’attaque risquée :

  • La technique de « chain download » (plusieurs étapes de téléchargement et d’exécution) augmente la probabilité de contournement des protections classiques qui bloquent les pièces jointes suspectes.
  • L’utilisation de composants légitimes (Python, scripts WSH) favorise la furtivité : ces éléments ne sont pas systématiquement considérés comme malveillants par tous les antivirus.
  • L’injection dans explorer.exe complique la détection par des signatures simples et nécessite une analyse comportementale approfondie.
  • Le recours à Pastebin pour stocker la configuration du C2 rend la localisation et la suppression de l’infrastructure plus délicates.

    • Qui est visé et quelles conséquences ?

    La campagne semble largescalée et opportuniste : toute personne recevant l’e‑mail et cliquant sur le lien est à risque, mais les conséquences sont particulièrement graves pour les professionnels traitant des données sensibles (comptabilité, ressources humaines, finances) : exfiltration de données, compromission de comptes, ransomware ultérieur, mouvement latéral dans le réseau de l’entreprise.

    Article à lire  Prime Air abandonné en Italie : Amazon renonce aux livraisons par drone — le revers inattendu qui cache une facture de 700 M€

    Les bonnes pratiques pour se protéger immédiatement

  • Ne cliquez jamais sur un lien dans un e‑mail qui annonce une prétendue irrégularité fiscale ou administrative ; contactez d’abord l’administration citée via son site officiel.
  • Ne téléchargez pas de pièces jointes ZIP si l’expéditeur est inconnu ou si le message comporte des fautes ou des incohérences.
  • Maintenez les systèmes à jour (OS, navigateurs, Python si utilisé) et activez une solution antivirale avec capacités EDR (détection comportementale).
  • Désactivez l’exécution automatique de scripts WSH si possible, et limitez les privilèges d’exécution pour les utilisateurs non administrateurs.
  • Surveillez les connexions réseau inhabituelles ; mettez en place des règles pour bloquer les domaines publics de partage de code (Pastebin, GitHub Gists) s’ils ne sont pas nécessaires.
  • En entreprise, sensibilisez le personnel via des campagnes de phishing simulées et réactivez la double authentification sur les accès critiques.

    • Que faire en cas d’infection suspectée ?

  • Déconnecter immédiatement la machine du réseau pour éviter la propagation.
  • Préserver les logs et effectuer une image forensique du poste compromis.
  • Alerter l’équipe sécurité interne ou un prestataire spécialisé pour une analyse approfondie.
  • Changer les identifiants sensibles depuis un poste sain, et vérifier les comptes de messagerie pour des règles ou redirections non autorisées.

    • Enjeu plus large : vigilance et infrastructures de confiance

    Cette campagne illustre une tendance claire : les cybercriminels combinent aujourd’hui ingénierie sociale et sophistication technique pour contourner les défenses. Les services publics, les entreprises et les citoyens doivent maintenir une posture de vigilance élevée. Les autorités nationales et les équipes CERT jouent un rôle crucial en publiant des avis rapides et des indicateurs techniques, mais la première ligne de défense reste la prudence individuelle : vérifier, douter, et contacter les organismes officiels par des canaux vérifiés plutôt que de cliquer impulsivement.

    Article à lire  Bloquez votre facture dès aujourd’hui : l’offre Octopus à prix fixe (électricité 0,1045 €/kWh, gaz 0,36 €/Smc) — faut‑il foncer ?

    Related Posts

    You May Have Missed