Arnaque par courriel : « Relevé électronique de la Sécurité sociale disponible »

Les cybercriminels utilisent fréquemment des campagnes d'e-mails convaincantes pour inciter les destinataires à ouvrir des fichiers malveillants, à divulguer des informations sensibles ou à installer des logiciels malveillants. C'est pourquoi il est essentiel de rester vigilant face à tout e-mail inattendu, surtout s'il prétend contenir des documents importants ou des notifications urgentes. Les e-mails du type « Relevé électronique de la Sécurité sociale disponible » en sont un parfait exemple. Ces messages sont frauduleux et ne sont associés à aucune entreprise, organisation, agence gouvernementale ou entité légitime. Leur seul but est d'infecter les appareils des victimes et de permettre aux pirates d'y accéder sans autorisation.

Un examen plus approfondi de l’escroquerie

L'analyse des courriels « Relevé électronique de la Sécurité sociale disponible » a révélé qu'ils font partie d'une campagne de spam malveillante visant à usurper l'identité de la Sécurité sociale américaine (SSA). Ces courriels informent faussement les destinataires que leur relevé de Sécurité sociale de 2026 est disponible au téléchargement.

Pour donner une apparence d'authenticité à leurs messages, les escrocs incluent des détails tels qu'un numéro de référence, une date et un bouton « Télécharger le relevé électronique » bien visible. Ces éléments visent à créer un sentiment de légitimité et à inciter les destinataires à faire confiance au courriel. Cependant, la véritable administration de la sécurité sociale n'est absolument pas impliquée dans ces messages.

L'objectif de cette campagne est d'inciter les destinataires à cliquer sur le bouton fourni, ce qui déclenche la phase suivante de l'attaque.

Le portail de vérification factice

Les destinataires qui cliquent sur le bouton de téléchargement sont redirigés vers un site web frauduleux conçu pour ressembler à s'y méprendre à une page officielle de la Sécurité sociale américaine (SSA). Une fois sur la page, un message « Vérification d'identité requise » s'affiche et les visiteurs sont invités à interagir avec un curseur pour lancer le téléchargement du document.

Au lieu de fournir un relevé de sécurité sociale, le site web installe automatiquement un fichier nommé « ScreenConnect.ClientSetup.msi » sur l'appareil du visiteur. Il affiche également un message indiquant que les documents ne sont accessibles que depuis des ordinateurs Windows. Cette restriction est intentionnelle : elle permet aux attaquants de cibler les utilisateurs Windows et augmente les chances de succès du programme d'installation malveillant.

Le processus de vérification ne sert aucun but légitime et existe uniquement pour donner l'apparence de fiabilité au téléchargement.

Comment fonctionne un installateur malveillant

Le fichier téléchargé contient une version modifiée de ScreenConnect, également connu sous le nom de ConnectWise Control. En temps normal, ScreenConnect est un outil légitime de bureau à distance et d'assistance largement utilisé par les professionnels et les entreprises du secteur informatique.

Dans cette campagne, le logiciel a été modifié et configuré pour établir discrètement une connexion avec des serveurs contrôlés par les attaquants. Une fois installée et exécutée, l'application infectée par un cheval de Troie permet aux cybercriminels d'accéder à distance et sans surveillance au système compromis.

Ce niveau d'accès permet aux attaquants de mener un large éventail d'activités malveillantes à l'insu de la victime.

Les dangers de la compromission à distance des systèmes

Lorsque des attaquants obtiennent un accès à distance via un logiciel malveillant, les conséquences peuvent être graves. Ils peuvent notamment :

• Surveillez les activités de la victime et visualisez tout ce qui s'affiche à l'écran.
• Voler des documents, des identifiants de connexion, des informations bancaires et autres données sensibles.
• Installer des logiciels malveillants supplémentaires, notamment des ransomwares, des logiciels espions ou des menaces de vol d'informations.
• Manipuler les fichiers et les paramètres système.
• Effectuer des transactions financières non autorisées ou utiliser abusivement des comptes en ligne compromis.

Tout ordinateur sur lequel le programme d'installation malveillant de ScreenConnect a été exécuté doit être considéré comme totalement compromis. Des mesures d'intervention immédiates sont nécessaires pour contenir la menace et prévenir tout dommage supplémentaire.

Comment les courriels indésirables transmettent des logiciels malveillants

La campagne « Relevé électronique de la Sécurité sociale disponible » illustre une stratégie courante de diffusion de logiciels malveillants utilisée par les cybercriminels. Les courriels indésirables malveillants propagent généralement les logiciels malveillants par le biais de pièces jointes ou de liens intégrés.

Les pièces jointes peuvent se présenter sous différents formats : documents Microsoft Office, fichiers PDF, archives ZIP, fichiers exécutables et scripts. Certaines infections par logiciels malveillants débutent dès l’ouverture du fichier, tandis que d’autres nécessitent l’activation de macros ou la réalisation d’actions supplémentaires.

De même, les liens malveillants redirigent souvent les utilisateurs vers des sites web se faisant passer pour des portails de documents sécurisés, des services de vérification ou des pages de téléchargement. Ces sites sont conçus pour inciter les visiteurs à télécharger et exécuter des fichiers malveillants. Dans certains cas, les téléchargements démarrent automatiquement, tandis que dans d'autres, des techniques d'ingénierie sociale sont utilisées pour convaincre les victimes de lancer elles-mêmes le logiciel malveillant.

Reconnaître les signes avant-coureurs

Plusieurs caractéristiques peuvent aider à identifier les escroqueries de ce type :

• Courriels inattendus prétendant que des documents importants, gouvernementaux, financiers ou juridiques, sont disponibles en téléchargement immédiat.

• Messages créant un sentiment d'urgence ou incitant à une action rapide sans vérification indépendante.

• Liens menant à des pages de vérification avant l'accès au document supposé.

• Demandes de téléchargement de logiciels pour consulter des documents ou effectuer des procédures de vérification.

• Des restrictions inhabituelles, telles que des affirmations selon lesquelles le contenu ne serait accessible que depuis certains systèmes d'exploitation ou appareils.

La reconnaissance de ces indicateurs peut contribuer à prévenir l'exposition accidentelle aux logiciels malveillants et autres cybermenaces.

Évaluation finale

La campagne par courriel « Relevé électronique de la Sécurité sociale disponible » est une escroquerie par diffusion de logiciels malveillants qui usurpe l'identité de la Sécurité sociale pour gagner la confiance des victimes. Au lieu de fournir un relevé annuel, l'escroquerie redirige les destinataires vers un faux portail de vérification qui télécharge un programme d'installation ScreenConnect infecté par un cheval de Troie.

Une fois exécuté, ce logiciel malveillant permet aux attaquants d'accéder à distance au système infecté, ce qui peut entraîner le vol de données, la compromission de comptes, des pertes financières et d'autres infections par des logiciels malveillants. Les destinataires de ces courriels doivent les supprimer immédiatement et éviter de cliquer sur les liens ou de télécharger les fichiers qu'ils contiennent.