Source: ncsc.admin.ch (OFCS/NCSC), communication du 19.08.2025. L’office décrit deux incidents survenus la semaine précédente illustrant l’évolution des méthodes d’ingénierie sociale pour installer des logiciels malveillants, malgré la baisse apparente des signalements de malware au S1 2025 (182 cas, ~0,4%).
• Contexte chiffré: au premier semestre 2025, seuls 182 signalements liés aux logiciels malveillants ont été reçus (~0,4%). Le NCSC avance deux lectures: d’un côté, les protections techniques (antivirus, filtres anti‑spam) bloquent davantage; de l’autre, les attaques deviennent plus furtives et passent inaperçues.
• Cas 1 – Fausse facture au nom d’Intrum (⚠️): e-mails avec une « facture QR » en pièce jointe qui est en réalité un fichier HTML. À l’ouverture, un message prétend que JavaScript est désactivé et incite à presser Windows+R puis Ctrl+V. Le chargement de l’HTML copie un script PowerShell malveillant dans le presse‑papiers; la combinaison de touches ouvre la fenêtre d’exécution et colle la commande, qui se connecte à un serveur des attaquants pour télécharger et installer un malware.
• Cas 2 – Prétendue demande de paiement UBS (⚠️): e-mail avec un PDF protégé par mot de passe (mot de passe fourni dans le message). Cette technique contourne les filtres car le contenu ne peut pas être scanné. Une fois ouvert, le PDF indique que le contenu se trouve sur OneDrive. Le lien mène au téléchargement d’une archive contenant un fichier batch (.bat); son exécution télécharge et installe le logiciel malveillant.
• Constats: les attaques sont multi‑étapes, combinant leurres de marque (Intrum, UBS), pièces jointes et actions utilisateur guidées pour contourner les protections et obtenir l’exécution locale. Les cybercriminels misent sur des manœuvres de diversion et l’implication active de la victime.
• Recommandations (du NCSC): ne pas cliquer sur les liens reçus par e‑mail/SMS; vérifier toute créance attendue via les coordonnées officielles; en cas de suspicion d’infection, consulter un spécialiste et privilégier une réinstallation complète après sauvegarde; après réinstallation, changer tous les mots de passe.
IOC et TTP:
- IOCs: aucun indicateur concret (domaines/IP/hashes) fourni.
- TTPs observés:
- Pièce jointe HTML déguisée en facture, chargement d’un PowerShell malveillant dans le presse‑papiers.
- Incitation à utiliser Windows+R puis Ctrl+V pour exécuter la commande collée.
- PDF protégé par mot de passe pour échapper à l’analyse automatisée.
- Redirection vers OneDrive pour télécharger une archive contenant un .bat exécutant l’infection.
- Usurpation de marque (Intrum, UBS) et chaînes d’infection multi‑niveaux.
Type d’article: alerte de sécurité et sensibilisation du NCSC/OFCS sur des campagnes de diffusion de malware via e‑mail.
🔗 Source originale : https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2025/wochenrueckblick_33.html