Pour la première fois en trois ans, les fichiers Microsoft Office ne sont plus le type de fichier le plus courant pour la distribution de logiciels malveillants. C’est ce que révèle le dernier rapport Threat Insights de HP Wolf Security (s’ouvre dans un nouvel onglet) pour le T3 2022.
En analysant les données de « millions de terminaux » exécutant sa solution de cybersécurité, HP a conclu que les fichiers d’archives (fichiers .ZIP et .RAR, par exemple) dépassaient les fichiers Office pour devenir le moyen le plus courant de distribuer des logiciels malveillants.
En fait, 44 % de tous les logiciels malveillants diffusés au troisième trimestre 2022 utilisaient ce format, en hausse de 11 % par rapport au deuxième trimestre. Les fichiers Office, en revanche, représentaient 32 % de toutes les distributions de logiciels malveillants.
Contournement des protections
HP a également constaté que les fichiers d’archives étaient généralement combinés à une technique de contrebande HTML, dans laquelle les cybercriminels intégraient des fichiers d’archives malveillants dans des fichiers HTML pour éviter d’être détectés par les solutions de sécurité des e-mails.
« Les archives sont faciles à chiffrer, ce qui aide les pirates à dissimuler les logiciels malveillants et à échapper aux proxys Web, aux bacs à sable ou aux analyseurs de messagerie », a déclaré Alex Holland, analyste principal des logiciels malveillants pour l’équipe de recherche sur les menaces HP Wolf Security.
« Cela rend les attaques difficiles à détecter, en particulier lorsqu’elles sont combinées avec des techniques de contrebande HTML. »
Holland a utilisé les récentes campagnes QakBot et IceID comme exemples. Dans ces campagnes, des fichiers HTML ont été utilisés pour diriger les victimes vers de faux visualiseurs de documents en ligne, les victimes étant encouragées à ouvrir un fichier .ZIP et à le déverrouiller avec un mot de passe. Cela infecterait leurs terminaux avec des logiciels malveillants.
« Ce qui était intéressant avec les campagnes QakBot et IceID, c’était l’effort déployé pour créer les fausses pages – ces campagnes étaient plus convaincantes que ce que nous avons vu auparavant, ce qui rend difficile pour les gens de savoir à quels fichiers ils peuvent et ne peuvent pas faire confiance », a ajouté Hollande.
HP a également déclaré que les cybercriminels ont fait évoluer leurs tactiques pour développer des « campagnes complexes » avec une chaîne d’infection modulaire.
Cela leur permet de changer le type de malware diffusé en cours de campagne, en fonction de la situation. Les escrocs peuvent fournir des logiciels espions, des rançongiciels ou des voleurs d’informations, tous utilisant les mêmes tactiques d’infection.
Selon les chercheurs, la meilleure façon de se protéger contre ces attaques est d’adopter une approche Zero Trust en matière de sécurité.
« En suivant le principe Zero Trust d’isolation fine, les organisations peuvent utiliser la micro-virtualisation pour s’assurer que les tâches potentiellement malveillantes – comme cliquer sur des liens ou ouvrir des pièces jointes malveillantes – sont exécutées dans une machine virtuelle jetable séparée des systèmes sous-jacents », explique Dr Ian Pratt, responsable mondial de la sécurité des systèmes personnels chez HP.
« Ce processus est complètement invisible pour l’utilisateur et piège tout logiciel malveillant caché à l’intérieur, garantissant que les attaquants n’ont pas accès aux données sensibles et les empêchant d’y accéder et de se déplacer latéralement. »