MINES Saint-Étienne

COVID‐​19 : Cyber‐sécurité

Mise à jour du 24 avril 2020

Attention aux cour­riels reçus et aux appli­ca­tions mobiles en rap­port avec le coronavirus !

Les hackers pro­fitent du COVID‐​19 pour ren­for­cer leurs attaques.

En cas de doute contac­ter les res­pon­sables de la sécu­ri­té des sys­tèmes d’in­for­ma­tion de l’é­cole : rssi@emse.fr.

A noter : Toutes les infor­ma­tions offi­cielles sont acces­sibles via la rubrique « Liens utiles » (colonne de droite) de notre page géné­rale d’in­for­ma­tion « Informations et consignes sur l’épidémie de coro­na­vi­rus ».

La DSI se tient à votre dis­po­si­tion pour vous accom­pa­gner dans vos démarches de protection.

Articles à  consulter

Les dernières alertes

  • Application « Coronavirus Map » conte­nant un mal­ware
    Le mali­ciel uti­li­sé est AZORult. Il a comme mis­sion prin­ci­pale de déro­ber les don­nées des uti­li­sa­teurs et de pro­cu­rer ain­si à l’at­ta­quant les noms, mots de passes, numé­ros de cartes de cré­dit et autres infor­ma­tions sensibles.
  • Une cam­pagne de pour­riels sur le thème du coro­na­vi­rus qui déploie le mali­ciel FormBook  avec fichier .zip nom­mé coro­na­vi­rus update
    L’expéditeur du pour­riel en ques­tion pré­tend être l’Organisation Mondiale de la Santé (OMS). Il contient un fichier com­pres­sé en .zip nom­mé « coro­na­vi­rus update », qui contient un fichier exé­cu­table « MyHealth.exe ». Si celui‐​ci est exé­cu­té, il ins­talle le mali­ciel GuLoader, qui va récu­pé­rer un fichier sur hxxps://drive.google.com, le déchif­frer et l’in­jec­ter dans le pro­ces­sus légi­time winint.exe. Enfin, il télé­charge le mali­ciel FormBook, connu pour ses capa­ci­tés de vol d’au­then­ti­fiants, de don­nées du presse‐​papier et en tant qu’en­re­gis­treur de frappes. Il peut éga­le­ment télé­char­ger des charges utiles sup­plé­men­taires après com­mu­ni­ca­tion avec un ser­veur de com­mande et contrôle (C2).
  • Une cam­pagne d’ha­me­çon­nage uti­lise le COVID‐​19 pour pro­pa­ger Trickbot avec un fichier WORD infec­té
    Les cour­riels d’ha­me­çon­nage de cette cam­pagne contiennent en pièces‐​jointes un docu­ment Word cen­sé être une liste de pré­cau­tions à prendre concer­nant le COVID‐​19. Le fichier contient en fait un script VBA avec un injec­teur télé­ver­sant une variante du mali­ciel Trickbot. Des indi­ca­teurs de com­pro­mis­sion sont dis­po­nibles dans le rap­port de Sophos.