Un groupe de hackers diffuse actuellement un courrier électronique concernant des changements au sein du Microsoft's Services Agreement pour amener les internautes à visiter un certain nombre de pages malveillantes utilisant la dernière faille Java en date pour infecter les ordinateurs des victimes grâce à un malware. « Nous recevons de nombreux rapports faisant état d'une campagne de phishing utilisant le modèle d'un email légitime en provenance de Microsoft concernant des changements importants du Microsoft Services Agreement and Communication Preferences », a déclaré Russ McRee, gestionnaire des incidents de sécurité au SANS Internet Storm Center. Les emails malveillants sont donc des copies de notifications légitimes que Microsoft a envoyé à ses utilisateurs pour leur annoncer des changements au sein de l'entreprise qui entreront en vigueur le 19 octobre prochain.

Une variante du malware Zeus dans les liens infectés

Dans les versions compromises de ces emails, les liens d'origine ont été remplacés par des liens vers des sites web compromis dont les pages accueillent plusieurs codes d'attaque directement tirés de Blackhole. Rappelons que Blackhole est un outil utilisé par les chercheurs en sécurité informatique pour tester des vulnérabilités. Malheureusement, il l'est aussi par les cybercriminels pour lancer des attaques exploitant les vulnérabilités dans les plug-ins de navigateurs. Java, Adobe Reader ou Flash Player font ainsi partie des plus visés. Le but des pirates ? Installer des logiciels malveillants sur les ordinateurs des utilisateurs qui visitent les sites compromis. Ce type d'attaque est connu pour fonctionner sur la base de téléchargement drive-by et est très efficace car il ne nécessite aucune intervention de la part de l'utilisateur pour atteindre son objectif. Blackhole a été récemment mis à jour pour inclure un nouvel 'exploit' Java 7. Ce dernier est apparu en ligne lundi dernier. "Les liens malveillants intégrés aux emails installent sur les ordinateurs infectés une variante du malware financier Zeus", a déclaré Russ McRee.

Une technique ancienne mais toujours aussi efficace 

L'applet Java infecté utilisé lors de cette attaque est détecté par seulement huit des 42 moteurs antivirus disponibles sur le service d'analyse de fichiers VirusTotal. La variante Zeus ayant un taux de détection tout aussi faible. La technique de création de versions malveillantes de messages légitimes envoyés par des sociétés de confiance est très ancienne. Cependant, son utilisation constante par les cybercriminels suggère que cette méthode est encore efficace. "Si vous avez reçu un courriel concernant la mise à jour des services Microsoft et que vous lisez votre courrier électronique via Hotmail ou Outlook.com, le courrier légitime devrait avoir un bouclier vert indiquant que le message provient d'un expéditeur de confiance", a déclaré Microsoft. "Si le courriel n'a pas de bouclier vert, vous pouvez marquer le message comme une tentative de phishing". La prudence lors de la lecture des emails est donc plus que jamais de mise. Aux dernières nouvelles, des échantillons des sites web infectés seraient hébergés en Chine.