02.12.2024 - L’OFCS reçoit actuellement de nombreux messages concernant des e-mails prétendant provenir d'une société de recouvrement ou d'une caisse maladie. Il s'agit d'une prétendue créance ou d'un rappel. Ne cliquez pas sur le lien, il s'agit d'une tentative de diffusion d'un logiciel malveillant auprès des utilisateurs de Windows.
E-mails contenant des logiciels malveillants au nom d'agences de recouvrement et de caisses d'assurance maladie
Actuellement, des prétendues factures ou rappels sont envoyés au nom de la société de recouvrement Intrum, mais aussi au nom de différentes caisses d'assurance maladie. Dans le courrier, il est demandé de cliquer sur un lien pour consulter les factures impayées ou les enregistrer au format PDF. Les lignes d'objet des courriels sont par exemple les suivantes (an allemand):
- «Sie haben neue Dokumente von der KPT. (2. Mahnung)»
- «Offene Forderung: Intrum AG 28936038»
L'objectif des pirates est d'inciter la victime à télécharger un logiciel malveillant. Le logiciel malveillant en question est le logiciel malveillant bien connu « Lumma Stealer ». Seuls les utilisateurs de Windows sont concernés. Les smartphones fonctionnant sous Android ou iOS ainsi que les ordinateurs équipés d'autres systèmes d'exploitation ne sont pas concernés dans ce cas.
Le lien est ce que l'on appelle un lien WebDAV. Les activités suivantes sont déclenchées (simplifiées) :
- La première action d'un logiciel malveillant est chargée en arrière-plan;
- Celui-ci charge d'autres composants et les exécute sur l'appareil;
- Au premier plan, un document PDF contenant une prétendue facture s'affiche.
« Lumma » est un modèle commercial dit « Malware-as-a-Service (MaaS)», dans lequel les cybercriminels mettent à disposition des logiciels malveillants et l'infrastructure correspondante contre paiement, permettant ainsi aux pirates moins expérimentés de mener des cyberattaques complexes.
Le logiciel malveillant « Lumma » est spécialisé dans le vol de données sensibles telles que les mots de passe, les informations du navigateur et les détails des portefeuilles de cryptomonnaies. L’OFCS avait déjà observé «Lumma Stealer» il y a un mois. À l'époque, les pirates avaient utilisé le processus de vérification des CAPTCHA pour inciter les victimes à installer des logiciels malveillants. L’OFCS a rédigé une rétrospective hebdomadaire à ce sujet :
Rétrospectives de la semaine 45
Des indicateurs techniques sur cet incident sont disponibles via le lien suivant :
https://github.com/govcert-ch/CTI/tree/main/20241202_LummaStealer
Recommandations :
- Ne cliquez pas sur le lien.
- Si vous attendez effectivement un rappel, prenez contact avec la société de recouvrement ou la caisse de maladie afin de déterminer si la demande est réellement justifiée. Utilisez à cet effet les coordonnées figurant sur les sites Internet officiels des entreprises.
- Si vous soupçonnez l'installation d'un logiciel malveillant, adressez-vous à un magasin d'informatique. Le plus sûr est de réinstaller complètement l'ordinateur. Après la réinstallation, changez les mots de passe de tous les accès en ligne (e-mail, réseaux sociaux, etc.).
Dernière modification 02.12.2024
