PandaLabs détecte des attaques massives visant à obtenir

PandaLabs vient de détecter deux attaques massives visant à obtenir des données personnelles, utilisées par la suite pour voler l'identité des victimes. La première attaque consiste en l'envoi de courriers électroniques semblant être une confirmation d'achat mais qui sont en fait infectés par le cheval de Troie Downloader.BR. L'e-mail  envoyé est le suivant (traduction de l'anglais) :

Objet : Confirmation de la commande numéro : WC9921564


Corps de texte :


Madame, monsieur,

Nous vous remercions de votre achat sur notre boutique en ligne. Nous avons bien reçu votre commande numéro WC9921564. Vous pouvez consulter le récapitulatif de votre commande dans le document ci-joint.

Ce message vous est envoyé pour accuser réception de votre commande. Ne répondez pas à cet
e-mail, il a été envoyé automatiquement par notre système de confirmation de la réception des commandes.

Nous vous informons qu'il n'est pas utile d'envoyer une nouvelle requête ou d'appeler le service clients pour connaître l'état de la commande ou le numéro de suivi, cela ne ferait que retarder le traitement de votre commande. Rassurez-vous, nous faisons notre possible pour traiter et expédier votre commande sous 1 à 2 jours ouvrés. Nous vous remercions de votre compréhension et de votre patience et sommes heureux de travailler avec vous.

Une fois que votre commande aura été traitée et expédiée, vous recevrez automatiquement un
e-mail avec le numéro de suivi FEDEX à l'adresse que vous nous avez fournie.

Sachez que les informations de suivi ne seront disponibles sur le système FEDEX qu'après 22h GTM-5 du lundi au vendredi. Si vous recevez un numéro de suivi le dimanche, vous pourrez suivre l'expédition de votre colis dès le lundi suivant à partir de 22h GTM-5.

Les commandes effectuées avec l'option de livraison sous 1 à 2 jours ouvrés seront expédiés dans les 48h, sous réserve que les produits soient disponibles en stock.
Les commandes expédiées par FedEx Ground mettent environ 7 à 10 jours à arriver.

Certains colis peuvent nécessiter une signature à la livraison. Ces paquets ne seront pas déposés sans la signature du destinataire. Pour votre commodité, vous recevrez par e-mail un numéro de suivi FedEx pour toute commande traitée et expédiée.

Les téléviseurs plasma, lecteurs de DVD, scanneurs, télécopieurs, appareils récepteurs, home cinéma et imprimantes ne peuvent pas nous être retournés une fois que le carton a été ouvert.

Pour un traitement optimal de votre commande, un délai de 24 à 48h ouvrés est nécessaire pour traiter et expédier votre commande. Nous vous remercions de votre compréhension.

Nous espérons que vous serez satisfait de votre commande et vous remercions de votre achat

a

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   

Le  fichier joint à ce message, du nom de WC9921564.exe, contient le cheval de  Troie Downloader.KBR.

Quant  à lui, le cheval de Troie Downloader.KCC se cache dans un fichier portant le nom de paycheck_322082.zip joint à des spams envoyés en masse au cours des dernières heures. Ces messages prétendent informer d'un rejet de débit (chargeback) d'un paiement effectué par l'utilisateur avec sa carte de crédit. L'e-mail reçu par les victimes a pour objet  [paycheck 322082] Credit Card Chargeback (paiement  n°322082, rejet  de débit par carte de crédit) et le corps du message est le suivant  (traduction de l'anglais) :

Monsieur,

                     

Nous avons été informés par votre service de carte bancaire qu'un chargeback avait été effectué par le propriétaire de la carte que vous avez utilisée pour payer votre compte.  Cette affaire est très sérieuse.
                         Nous avons déduit le montant du refus de débit, 102,10 £, de votre compte auquel nous avons ajouté nos frais habituels, 23,95 £. (Vous pouvez consulter les détails de votre paiement dans le document en pièce jointe).

                     

S'il s'agit d'une erreur, nous vous prions de nous en informer dans les plus brefs délais, afin que nous puissions résoudre la situation.  Nous demandons de retirer ce refus de débit dès que possible, étant donné que notre compte a déjà été débité du montant en question.   
                        Si vous préférez, vous pouvez également effectuer votre versement en utilisant un autre moyen de paiement (avec une autre carte bancaire ou par mandat libellé au nom de Cihost).

                     

L'affaire est urgente, le service des cartes nous demande instamment de résoudre la situation.  Veuillez contacter le service des facturations par e-mail en utilisant le Panneau d'administration web et nous communiquer comment vous compter régler cette situation.
                        Nous vous remercions de  votre diligence et attendons de recevoir prochainement de vos nouvelles.

                     

Prenez le temps de  consulter les détails dans le document en pièce jointe.

                     

Nous vous prions d'agréer, Monsieur, l'expression de nos sentiments les  meilleurs.

                     

Frank J.  Cornwell
                      Service  facturation de Cihost

Dans ces deux cas, les messages reçus par les utilisateurs pouvaient être différents. De plus, ils n'étaient pas tous en anglais, certains e-mails ont été traduits dans d'autres langues. En fait, les courriers électroniques infectés ont été envoyés manuellement.

"Cette forme d'escroquerie se révèle très efficace. Le pirate à l'origine de ces e-mails a choisi, entre autres leurres possibles, d'inquiéter les utilisateurs en faisant référence à des achats qu'ils n'ont pas effectués ou à des problèmes de frais liés à des paiements avec leur carte bancaire. Alarmés par la perspective d'ennuis financiers, les victimes lisent le message et ouvrent la pièce jointe, inconscients des conséquences", explique Luis Corrons, le directeur de PandaLabs.

Si l'utilisateur ouvre la pièce jointe incluse dans l'un  de ces deux messages, le cheval de Troie Downloader.KCC ou Downloader.KBR est installé sur son ordinateur. Ces deux chevaux de Troie mènent le même type d'actions et notamment téléchargent le cheval de Troie Spyforms.A sur le système. Ce deuxième cheval de Troie est conçu pour dérober des informations personnelles sur les ordinateurs infectés : adresse IP, mot de passe d'accès à Internet… Luis Corrons précise : "Avec les informations obtenues par Spyforms.A, une personne malveillante peut commettre des vols d'identité et, par exemple, effectuer des actions en ligne de toutes sortes en se faisant passer pour une de ses victimes. Ainsi, le pirate peut, entre autres, se rendre coupable de fraudes financières. Dans le cas d'investigations, les autorités se concentreront sur l'utilisateur innocent dont les données personnelles ont été subtilisées alors que le véritable criminel restera anonyme."