News
Le malware ChromeLoader cible les utilisateurs de sites de piratage
juin 2023 par HP Wolf Security
Le dernier rapport HP Wolf Security sur les cybermenaces du premier trimestre 2023 révèle que certains cybercriminels arrivent à contrôler le navigateur Chrome des utilisateurs lorsque ceux-ci tentent de télécharger des films ou des jeux vidéo à partir de sites de piratage. En identifiant et en isolant les menaces qui ont échappé aux outils de protection des PC, HP Wolf Security dispose d’un aperçu précis des dernières techniques utilisées par les cybercriminels. Jusqu’à présent, les utilisateurs de HP Wolf Security ont cliqué sur plus de 30 milliards de pièces jointes, de pages web et de fichiers téléchargés, sans qu’aucune faille n’ait été signalée.
Sur la base des données provenant de millions d’appareils sécurisés par HP Wolf Security, les chercheurs ont découvert que :
• L’extension Shampoo sur Chrome est difficile à supprimer : le logiciel malveillant ChromeLoader trompe les utilisateurs en les incitant à installer une extension malveillante appelée Shampoo. Cette extension peut rediriger les requêtes de la victime vers des sites web malveillants ou des pages qui permettent au cybercriminel de gagner de l’argent grâce à des campagnes publicitaires. Ce logiciel malveillant est très persistant. Il utilise un planificateur de tâches pour se relancer toutes les 50 minutes.
• Les cybercriminels contournent les stratégies macros en utilisant des domaines de confiance : bien que les macros provenant de sources non fiables soient désormais désactivées, HP a constaté que certains cybercriminels contournaient ces contrôles. Ils parviennent notamment à compromettre des comptes Office 365 existants et les utilisent pour créer de nouvelles adresses e-mail d’entreprises, puis distribuent un fichier Excel malveillant. Ce dernier infecte les appareils des victimes grâce au programme malveillant et « infostealer » Formbook.
• Les documents OneNote peuvent servir de carnets de notes numériques, et n’importe quel fichier peut y être joint. Les cybercriminels profitent de cela pour intégrer des fichiers malveillants derrière de faux icônes "cliquez ici". En cliquant sur l’icône, le fichier caché s’ouvre, exécutant un logiciel malveillant qui donne accès à l’ordinateur de l’utilisateur. Cet accès peut ensuite être revendu à d’autres groupes de cybercriminels et à des réseaux de rançongiciels.
Des groupes expérimentés tels que Qakbot et IcedID ont intégré des logiciels malveillants dans des fichiers OneNote pour la première fois en janvier dernier. Avec des kits OneNote accessibles sans compétences techniques avancées et disponibles sur les marchés de la cybercriminalité, ces logiciels malveillants devraient se multiplier au cours des prochains mois.
« Pour se protéger contre les dernières menaces identifiées, nous conseillons aux utilisateurs et aux entreprises d’éviter de télécharger du contenu à partir de sites non fiables, en particulier les sites de piratage. Les employés doivent se méfier des documents internes suspects et vérifier auprès de l’expéditeur avant de les ouvrir. Les organisations doivent également configurer des outils de sécurité et des passerelles de messagerie sécurisée pour bloquer les fichiers OneNote provenant de sources externes inconnues », explique Patrick Schläpfer, Malware Analyst, dans l’équipe de R&D Sécurité HP.
Des fichiers d’archive malveillants au « HTML Smuggling » (ou contrebande de HTTP en français), le rapport montre également que les groupes de cybercriminels continuent de diversifier leurs méthodes d’attaque pour contourner les passerelles de messagerie sécurisée tout en s’éloignant des formats Office. Les enseignements de l’étude des menaces bloquées par HP Wolf Security au premier trimestre 2023 sont les suivants :
• Les archives sont le type de diffusion de logiciels malveillants le plus populaire (42 %) pour le quatrième trimestre consécutif.
• Une augmentation de 37 points concernant les menaces de HTML Smuggling et de 4 points des menaces PDF au premier trimestre 2023 par rapport au 4ème trimestre 2022.
• Une baisse de 6 points des logiciels malveillants Excel (de 19 % à 13 %) au premier trimestre 2023 par rapport au 4ème trimestre 2022, car il est devenu plus difficile d’exécuter des macros dans ce format.
• 14 % des menaces par e-mail identifiées par HP Sure Click ont contourné un ou plusieurs scanners de passerelle de messagerie sécurisée au premier trimestre 2023.
• Le vecteur de menace principal était l’e-mail (80 %), suivi des téléchargements dans le navigateur (13 %).
« Pour se protéger contre des attaques de plus en plus diversifiées, les organisations doivent suivre les principes "Zero Trust" pour isoler et contenir les activités à risque telles que l’ouverture de pièces jointes, les clics sur des liens ou les téléchargements dans le navigateur. Cela réduit considérablement l’importance de d’attaque et le risque de violation », commente Ian Pratt, Responsable mondial de la sécurité des systèmes personnels pour HP.
HP Wolf Security exécute des tâches risquées telles que l’ouverture de pièces jointes, le téléchargement de fichiers et le clic sur des liens dans des micro-machines virtuelles (micro-VM) isolées pour protéger les utilisateurs. Il enregistre également des informations détaillées sur les tentatives de piratage. La technologie HP d’isolation des applications minimise les menaces qui pourraient échapper à d’autres outils de sécurité. Elle fournit de surcroît de précieuses informations sur les nouvelles techniques d’intrusion et sur le comportement des pirates.
À propos de l’étude
Ces données ont été recueillies anonymement sur les machines virtuelles des clients HP Wolf Security entre janvier et mars 2023.
