Campagne de hameçonnage ciblé visant les établissements de santé et destiné à télécharger un code malveillant
Une campagne d'attaques ciblées par hameçonnage touche actuellement des établissements de santé. Les messages reprennent un historique de communication. Ils contiennent un lien hébergé sur le domaine "onedrive.live.com" qui conduit vers un fichier XLS protégé par le mot de passe fourni dans l'email. L'archive ZIP une fois ouverte, propose à l'utilisateur de désactiver les protections en place pour pouvoir exécuter des macros. La macro exécute ensuite un script malveillant qui procède au téléchargement de binaires dangereux pour le poste et le reste du système d'information (TrickBot).
Veillez à ne surtout pas cliquer sur ce lien, à avertir votre responsable de la sécurité des systèmes d'information et à supprimer ce courriel si vous le recevez.
Nous vous demandons de bien vouloir nous informer (cyberveille@esante.gouv.fr) si vous recevez ce message.
En lien vous trouverez les fiches du CERT Santé en cas d'attaque par hameçonnage et de déploiement d'un maliciel.