Ikea est actuellement confronté à une attaque en cours sur son système de messagerie électronique, dans laquelle des pirates ciblent les boîtes aux lettres des employés avec des chaînes de réponses aux e-mails volées (reply-chain emails), selon le média américain Bleeping Computer a été signalé. Les e-mails de chaîne de réponse envoyés sont des e-mails de l’entreprise, mais ils sont envoyés à partir de comptes de messagerie compromis et sont accompagnés de liens ou de pièces jointes contenant des logiciels malveillants. En raison de l’apparence de confiance, les employés sont plus susceptibles de télécharger les pièces jointes et d’infecter les ordinateurs.
(Image : Ikea)
Un courriel adressé aux employés d’Ikea, dont Bleeping Computer a obtenu copie, indique : « Une cyberattaque est en cours et vise les boîtes aux lettres d’Inter IKEA. D’autres organisations IKEA, fournisseurs et partenaires commerciaux sont touchés par la même attaque et diffusent des e-mails malveillants aux personnes travaillant chez Inter IKEA ». Les e-mails ont l’air de provenir de collègues ou d’organisations externes en réponse à une conversation déjà en cours. C’est pourquoi il est difficile de savoir si l’e-mail reçu est un e-mail de phishing.
Sommaire
Les expéditeurs semblent fiables
Ikea met en garde ses employés contre les e-mails contenant sept chiffres à la fin d’un lien et demande à ses employés de ne pas les ouvrir et de les signaler plutôt au service informatique, même s’ils proviennent d’expéditeurs fiables. En appelant ces URL, un navigateur est redirigé vers un téléchargement nommé « charts.zip », qui contient un document Excel préparé avec des macros. Dans cette pièce jointe, les destinataires sont invités à cliquer sur les boutons « Activer le contenu » ou « Activer l’édition » afin d’afficher correctement le document. En cliquant sur les boutons, selon Ordinateur en panne a exécuté les macros malveillantes qui téléchargent les fichiers nommés « besta.ocx », « bestb.ocx » et « bestc.ocx » depuis un site distant et les enregistrent dans le dossier C:Datop.
Serveur Microsoft Exchange exploité
Des attaquants avaient compromis des serveurs Microsoft Exchange internes en exploitant les vulnérabilités ProxyShell et ProxyLogin pour lancer des attaques de phishing. Après avoir eu accès à un serveur, les serveurs internes Microsoft Exchange ont été utilisés pour lancer des attaques par chaîne de réponse avec les adresses électroniques volées des employés.
Les chevaux de Troie Emotet et Qbot avaient utilisé des méthodes similaires. Ce n’est que récemment que le retour d’Emotet – considéré à un moment donné comme le logiciel malveillant le plus dangereux – a été rendu public. Au début de l’année, un coup a été porté au réseau Emotet, mais des machines infectées par le malware Trickbot ont récemment commencé à installer de nouvelles variantes d’Emotet.