Attention aux faux mails d'UPS

Pour diffuser un cheval de Troie, les cyberescrocs ne se contentent plus d’appâter le naïf avec de la pornographie

Les escrocs de la Toile ne manquent pas d’imagination. On les savait spécialistes de la récupération d’événements de l’actualité pour propager leurs malwares. On connaissait aussi leur propension à piéger l’internaute naïf avec de la pornographie. Cette fois, selon PandaLabs, ils s’attaquent aux services d’envois de colis pour parvenir à leurs fins. Objectif : endormir la méfiance de l’internaute.

Selon l’éditeur espagnol, des emails frauduleux prétendument envoyés par le géant américain UPS circulent actuellement sur la Toile. Le message informe qu’un colis postal n’a pas pu être transmis à son destinataire et propose de télécharger la facture en pièce jointe. Evidemment, le fichier qui se fait passer pour un document Microsoft Word et portant un nom tel que « UPS_invoice ». est piégé.

En l’exécutant, le fichier installe une copie du cheval de Troie Agent.JEN dans l’ordinateur de l’utilisateur.« Le code malicieux effectue alors des copies de lui-même sur le système, remplaçant le fichier Userinit.exe du système d’exploitation Windows. Ce fichier sert à lancer le navigateur Internet Explorer, l’interface du système et d’autres processus essentiels. Pour que l’ordinateur continue à fonctionner correctement et éviter ainsi que l’utilisateur suspecte une infection, le cheval de Troie copie le fichier système à un autre endroit sous le nom userini.exe », explique Panda.

« Tous ces efforts pour ne pas être remarqué correspondent à la nouvelle dynamique des malwares : les cyber-criminels ne sont plus intéressés par la gloire mais par les retours financiers de leurs actions et ils ont besoin pour cela d’être les plus discrets possible », indique Luis Corrons, directeur technique de PandaLabs.

Enfin, Agent.JEN se connecte à un domaine russe (déjà utilisé par d’autres chevaux de Troie bancaires) depuis lequel il envoie une requête à un domaine allemand afin de télécharger un rootkit et un adware.

« L’utilisation de thèmes tels que celui-ci n’est pas courante,précise Luis Corrons. Cela nous indique clairement que les cyber-criminels essaient d’utiliser des leurres qui n’attirent pas la suspicion ».