Un nouveau cheval de Troie bancaire vise les PME francophones

Le 21 mars dernier, Vade Secure, spécialisé dans la protection des messageries contre le spam et l’hameçonnage, a détecté le déploiement d’un nouveau cheval de Troie bancaire assez original. En effet, le message d’infection était un courriel en français se faisant passer pour une notification de facture envoyée automatiquement avec le logiciel comptable Intuit. En cliquant sur le lien pour télécharger la soi-disant facture, l’internaute atterrit sur un site américain et reçoit un exécutable nommé Facture.pdf.exe qui contient une souche polymorphe du malware bancaire, Mikey. A priori, cette version récupère les données de connexion et financières contenues sur le PC et les renvoie à son ordinateur maître situé également en Europe. Si Vade Secure a été capable de bloquer de nombreux mails entrants (plus de 145 000 durant la première vague) en France et en Suisse, cette nouvelle attaque se distingue selon Sébastien Gest, porte-parole de Vade Secure, par son caractère insidieux : « D’après le site VirusTotal, plus de la moitié des antivirus du marché ne sont toujours pas en capacité de bloquer cette attaque. De plus, il s’appuie sur un réseau de botnet totalement nouveau, dont les adresses IP ne sont pas connues. » S’il est encore difficile de mesurer l’impact de cette attaque touchant plus particulièrement les TPE et les PME, où le personnel administratif n’est pas forcément au fait des risques en matière de cybersécurité, Sébastien Gest rappelle que si « quelqu’un a cliqué sur le lien contenu dans son courriel, il faut rendre totalement étanche son ordinateur. Ce type de Trojan essaie de se déployer sur le réseau de l’entreprise et, à terme, de déclencher des transactions ou de lancer une arnaque au président, voire de faire de l’espionnage industriel. »