Les malwares ciblent désormais par géolocalisation
cybersécurité

Les malwares ciblent désormais par géolocalisation

communiqué de presse |  15/11/2017

Vade Secure observe depuis quelques semaines une nouvelle méthode d’infection « à la carte » utilisée par les cybercriminels. Celle-ci est basée sur la géolocalisation de l’IP de la machine ciblée dans le but de libérer un malware différent et adapté à la zone géographique où se situe la cible...

Dans le but de faire toujours plus de dégâts, les malwares évoluent. Nous assistons depuis de nombreux mois à l’industrialisation des malwares avec l’émergence de nombreux outils (Ransomware As A Service) et de nouvelles stratégies d’infections (Faille Zéro Day). Vade Secure observe depuis quelques semaines une nouvelle méthode d’infection « à la carte » utilisée par les cybercriminels. Celle-ci est basée sur la géolocalisation de l’IP de la machine ciblée dans le but de libérer un malware différent et adapté à la zone géographique où se situe la cible ! Ainsi une même campagne de spam contenant un malware (une pièce jointe) peut déployer finalement une charge malicieuse de multiples familles de malware : ransomwares, trojan bancaires ou autres malware botnet.

Encore jamais vue en France, cette technique vient d’être détectée sur le territoire par le spécialiste français de la protection des emails, Vade Secure.

 

Les malwares et la géolocalisation, comment cela fonctionne ?

Sébastien Gest, Évangéliste Technique chez Vade Secure explique : « Nous assistons depuis la fin du mois de septembre à une nouvelle technique de déploiement de la charge malicieuse. Après avoir cliqué sur la pièce jointe, le code malicieux s’exécutant va identifier dans un premier temps la localisation géographique de la machine ciblée au travers d'une requête à un service en ligne parmi une liste présente dans le code source (ipinfo.io, geoplugin.net, freegeoip.net). Après avoir identifié la localisation, une règle de validation va associer une URL de payload (le malware) à télécharger. Dans les premiers cas que nous avons observés, nous avons retrouvé dans les URL, le payload du ransomware Locky et celui du trojan bancaire Trickbot, qui sont les plus utilisés en France, mais dans le futur nous verrons probablement de nombreux autres malwares utilisés ».

 

Vade Secure note d’ailleurs la présence de noms de domaines d’entreprises françaises dans la liste des URL (liste complète isponible ici) :

  • autoecole-jeanpierre.com
  • autoecoleboisdesroches.com

 

Quel est l’intérêt de ce nouveau mode de distribution ?

Dans un contexte mondialisé, ce nouveau mode de distribution va permettre de toucher des entreprises sous différentes formes et en différents lieux, mais dans un même laps de temps. Sébastien Gest alerte sur le fait que « les professionnels de la sécurité doivent maintenant prendre en compte des attaques coordonnées. Ces attaques peuvent cibler une zone géographique plutôt qu'une autre dans une même vague ».

Ils font aussi l 'actu...
réseau

F5 Networks présente des systèmes de défense DDoS nouvelle génération

communiqué de presse | 15/09/2016

F5 étend son portefeuille de solutions de sécurité avec des appliances contextuelles intelligentes dédiées à la protection DDoS et à l’orchestration SSL.

cloud

Le Top 50 des entreprises les plus innovantes dans le Cloud dans la région EMEA

communiqué de presse | 18/10/2017

F5 Networks dévoile un rapport exclusif sur la liste des entreprises qui tirent le mieux parti du Cloud pour innover et réussir.

télécoms

MyStream propose des fonctionnalités de portail captif en mode as a Service

communiqué de presse | 11/12/2014

Grâce à un partenariat avec Ucopia, les entreprises multi-sites peuvent disposer plus facilement de fonctionnalités avancées de gestion des visiteurs en mode « Cloud ».

conseil

SVL et le groupe Newlode annoncent leur rapprochement

communiqué de presse | 26/02/2018

SVL et le groupe Newlode annoncent être entrés en négociations exclusives en vue d’intégrer SVL au sein du Groupe. L’opération devrait être finalisée d’ici au 1er Mars

erp/crm/bi

La gestion des risques au service du pilotage de l’entreprise

avis d'expert  | 09/07/2015

La gestion des risques est un outil indispensable au pilotage des activités et plus globalement de l’entreprise. En effet, l’entrepreneur ou chef d’entreprise est constammen...

stockage

Acronis ajoute la protection automatisée contre les ransomwares à sa solution de sauvegarde

communiqué de presse | 12/07/2017

Acronis Backup 12.5 est la première solution de sauvegarde qui allie protection des données contre les ransomwares et restauration automatisée des données endommagées.