Depuis février 2022, Microsoft bloque par défaut les macros dans les fichiers Office, ce qui complique les exécutions de codes malveillants. Les données recueillies par l’équipe HP Threat Research montrent qu’à partir du deuxième trimestre 2022, les hackers ont diversifié leurs méthodes pour trouver de nouvelles brèches dans les appareils numériques et voler leurs données. Grâce aux données provenant de millions de terminaux équipés de HP Wolf Security[ii], la recherche a révélé :
• La montée en puissance des escroqueries aux QR codes : depuis octobre 2022, HP a observé des campagnes quasi quotidiennes d’escroquerie par scan de QR codes. Ces escroqueries incitent les utilisateurs à scanner des QR codes à partir de leur PC en utilisant leur appareil mobile – pour potentiellement tirer parti d’une protection et d’une détection de phishings plus faibles sur ces appareils. Les QR codes dirigent les utilisateurs vers des sites web malveillants qui demandent des informations sur les cartes de crédit et de débit. Au quatrième trimestre, des campagnes de phishing se sont notamment fait passer pour des sociétés de livraison de colis cherchant à se faire payer.
• Une augmentation de 38 % de PDF malveillants en pièces jointes[iii] : les récentes attaques utilisent des images intégrées qui renvoient à des fichiers ZIP malveillants cryptés, contournant ainsi les scanners de passerelles web. Les instructions PDF contiennent un mot de passe que l’utilisateur est invité à saisir pour décompresser un fichier ZIP, déployant ainsi les logiciels malveillants QakBot ou IcedID pour obtenir un accès non autorisé aux systèmes, qui sont utilisés comme têtes de pont pour déployer des ransomwares.
• 42 % des logiciels malveillants ont été diffusés dans des fichiers d’archives tels que ZIP, RAR et IMG : la popularité des fichiers type archives a augmenté de 20 % depuis le premier trimestre 2022, car les acteurs malveillants adoptent des scripts pour exécuter leurs charges utiles. Les logiciels diffusés par le biais de fichiers Office tels que Microsoft Word, Excel et PowerPoint représentent quant à eux 38 % des fichiers malveillants.

« Nous avons vu des émetteurs de logiciels malveillants comme Emotet tenter de contourner la politique plus stricte d’Office en matière de macros par des tactiques complexes d’ingénierie sociale, qui, selon nous, s’avèrent moins efficaces. Mais lorsqu’une porte se ferme, une autre s’ouvre, comme le montre l’augmentation des escroqueries au scan, de la publicité malveillante, des archives et des logiciels malveillants PDF », explique Alex Holland, Senior Malware Analyst, dans l’équipe de R&D Sécurité HP. « Les utilisateurs doivent se méfier des mails et des sites web qui demandent de scanner des QR codes et de divulguer des données sensibles, ainsi que des fichiers PDF qui renvoient à des archives protégées par un mot de passe. »

Au quatrième trimestre, HP a également découvert 24 logiciels populaires imités dans des campagnes de malvertising utilisées pour infecter des PC avec huit familles de logiciels malveillants, contre seulement deux campagnes similaires l’année précédente. Les attaques reposent sur le fait que les utilisateurs cliquent sur des publicités dans les moteurs de recherche, qui mènent à des sites web malveillants presque identiques aux sites officiels.

« Bien que les techniques évoluent, les hackers s’appuient toujours sur l’ingénierie sociale pour cibler les utilisateurs au niveau du terminal », commente Ian Pratt, Responsable mondial de la sécurité des systèmes personnels pour HP. « Les organisations devraient déployer une isolation forte pour contenir les vecteurs d’attaque les plus courants tels que les e-mails, la navigation sur le web et les téléchargements. En associant ces mesures à des solutions de protection des informations d’identification qui avertissent les utilisateurs, voire les empêchent de saisir des informations sensibles sur des sites suspects, elles permettent de réduire considérablement la surface de l’attaque et donc d’améliorer la sécurité de l’organisation ».

HP Wolf Security exécute des tâches risquées telles que l’ouverture de pièces jointes, le téléchargement de fichiers et le clic sur des liens dans des micro-machines virtuelles (micro-VM) isolées pour protéger les utilisateurs, en capturant des traces détaillées des tentatives d’infection. La technologie d’isolation des applications de HP atténue les menaces qui pourraient échapper à d’autres outils de sécurité. Elle fournit de plus des informations uniques sur les nouvelles techniques d’intrusion et le comportement des acteurs à l’origine de la menace.
Pour consulter le rapport complet : https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q4-2022/

À propos des données
Ces données ont été collectées de manière anonyme au sein des machines virtuelles des clients de
HP Wolf Security entre octobre et décembre 2022.

[i] HP has specific insight into the latest cybercriminal techniques because it analyses real world malware samples in micro-virtual machines (micro-VMs), capturing detailed traces of attempted infections.
[ii] HP Security is now HP Wolf Security. Security features vary by platform, please see product data sheet for details.
[iii] As detailed in page 2 of the HP Wolf Security Q4 Threat Insights Report