dim 20 Jui 2021

Case Study: un email malveillant peut en cacher un autre

Les emails sont systématiquement utilisés pour mener des cyberattaques. Dans notre case study, nous voyons trois différentes attaques par email utilisé simultanément : 

BEC (Business Email Compromise)

Email infecté avec un malware

Email avec facture illégitime



Le premier élément suspect de cette histoire est un mail bloqué à destination d’un de nos clients. En effet, le mail en question comportait une pièce jointe dont l’extension était « .exe ». Ce genre d’extension, typique des fichiers exécutables Windows, était sur la liste de blocage d’extension créée par ZENDATA. Cependant, ce mail provenait d’un partenaire avec lequel travaillait notre client depuis de nombreuses années. C’est donc pour cette raison que notre client nous a demandé de libérer cet email, car il était persuadé de son contenu légitime.

 

Figure 1 - Exemple de notification pour un email bloqué


Comme c’est le cas dans ce genre de procédure (validée par le client au moment de la signature du contrat), les ingénieurs de ZENDATA ont exécuté cette pièce jointe dans une sandbox avant de la libérer afin de s’assurer que le contenu n’était pas malveillant. Mais il s’est avéré que cette pièce jointe était un ransomware avec une confiance de 100%.

 

Figure 2 - Exemple de résultat de sandbox


Nous avons donc appelé le client afin de lui expliquer la situation. En parallèle, nous avons démarré un travail d’investigation afin d’analyser les autres emails provenant du même expéditeur, et à destination de tous les clients de ZENDATA.

Lors de l’exécution de notre procédure, nous avons découvert plusieurs autres emails suspects venant du même expéditeur. L’un d’entre eux était une facture envoyée le jour précédent. Nous avons donc demandé au destinataire de ce second email (un employé dans une autre entreprise que la première victime) de vérifier minutieusement le document en pièce jointe qui était une facture en PDF. Nous voulions notamment nous assurer que les coordonnées bancaires dans cette facture étaient correctes. Peut de temps après, nous avons reçu une confirmation que l’IBAN et coordonnées bancaires n’étaient pas celles usuellement utilisées pour les transferts entre les deux partis, et ils ont annulé le paiement de celle-ci.

Nous avons ensuite évidemment pris contact avec l’entreprise partenaire de nos clients (et source des deux emails malveillants) afin de les informer de la compromission possible d’une de leur machine ou d’un de leur compte utilisateur. Nous avons aussi mis un système d’analyse systématique des emails venant de cet expéditeur en attendant qu’il trouve la source de leur compromission et qu’ils nettoient leur système.

Les emails sont le vecteur d’attaque le plus communément utilisé par les hackeurs. Afin de se protéger efficacement, il ne faut pas seulement avoir des outils efficaces mis en place, mais aussi une bonne compréhension des méthodes utilisées par les hackeurs et avoir des procédures éprouvées pour protéger efficacement.

Note : Les données et captures d’écran ont été recréées afin d’enlever toutes informations personnelles.