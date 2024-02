Les cybercriminels utilisent des stratégies marketing pour augmenter leur nombre de "victimes par clic"

Sur la base des données recueillies auprès de millions de terminaux équipés de la suite HP Wolf Security, les chercheurs ont fait les constats suivants :

• La campagne DarkGateutilise des outils publicitaires pour perfectionner les attaques : des pièces jointes PDF malveillantes, se présentant comme des messages d’erreur OneDrive, dirigent les utilisateurs vers du contenu sponsorisé hébergé sur un portail publicitaire populaire, qui conduit alors au malware DarkGate.

o En utilisant des sites publicitaires, les pirates informatiques peuvent analyser les types de leurres qui génèrent le plus de clics et infectent le plus grand nombre d’utilisateurs, ce qui leur permet d’affuter leurs campagnes et optimiser leur impact.

o Les cybermalfaiteurs peuvent utiliser des outils de type CAPTCHA pour empêcher les boites de réception d’analyser les logiciels malveillants et de les arrêter, s’assurant ainsi que seuls des humains cliquent.

o DarkGate permet aux cybercriminels d’accéder aux réseaux par des portes dérobées, exposant ainsi les victimes à des risques tels que le vol de données et les ransomwares.

• L’évolution des macros vers l’exploitation de failles de Microsoft Office : au quatrième trimestre, au moins 84% des tentatives d’intrusion impliquaient des feuilles de calcul Excel et 73 % des documents Word, qui visaient à tirer profit de vulnérabilités dans les applications Office, ce qui confirme la tendance à l’abandon des attaques Office utilisant des macros. Néanmoins les attaques par macro sont toujours observées, en particulier celles qui exploitent des logiciels malveillants de base comme Agent Tesla et XWorm.

• Les malwares PDF sont en augmentation : 11% des malwares analysés au 4ème trimestre ont utilisé des PDF pour diffuser des virus, contre seulement 4% aux 1er et 2ème trimestres 2023. Un exemple notable est la campagne WikiLoader utilisant un faux PDF de livraison de colis pour inciter les utilisateurs à installer le logiciel malveillant Ursnif.

• Discord et TextBin utilisés pour héberger des fichiers malveillants : les cybercriminels utilisent des sites web de partage de fichiers et de textes pour héberger des fichiers malveillants. Les entreprises font souvent confiance à ces sites pour éviter les scanners anti-malware, augmentant ainsi les chances des attaquants de passer inaperçus.

Alex Holland, Senior Malware Analyst au sein de l’équipe de recherche sur les menaces de HP Wolf Security, commente : « Les cybercriminels sont de plus en plus habiles et intègrent désormais notre manière de travailler et tentent d’influencer nos comportements. Par exemple, la conception des services Cloud est sans cesse améliorée, de sorte que lorsqu’un faux message d’erreur apparaît, cela ne déclenche pas nécessairement l’alerte, quand bien même l’utilisateur ne l’aurait jamais vu auparavant. Avec la GenAI générant des contenus malveillants encore plus convaincants à moindre frais, distinguer le vrai du faux pourrait devenir de plus en plus difficile ».

En isolant les menaces qui ont échappé aux outils de détection des PC, tout en permettant aux logiciels malveillants de s’exécuter dans un environnement encadré et sécurisé, HP Wolf Security a une vision spécifique des dernières techniques utilisées par les hackers. À ce jour, les clients de HP Wolf Security ont cliqué sur plus de 40 milliards de pièces jointes, de pages web et de fichiers téléchargés sans qu’aucune infection n’ait été signalée.

Le rapport explique comment les cybercriminels continuent de diversifier leurs méthodes d’attaque pour contourner les politiques de sécurité et les outils de détection. Voici d’autres conclusions issues du rapport :

• Les archives représentent le type de diffusion de logiciels malveillants le plus populaire pour le septième trimestre consécutif. Elles sont utilisées dans 30% des logiciels malveillants analysés par HP.

• Au moins 14% des menaces par email identifiées par HP Sure Click ont contourné un ou plusieurs scanners de passerelle de messagerie.

• Les principaux vecteurs de menace au 4ème trimestre étaient le courrier électronique (75%), les téléchargements à partir de navigateurs (13%) et divers moyens - incluant les clés USB (12%).

Ian Pratt, Global Head of Security au sein de la division Personal Systems de HP ajoute : "Les cybercriminels utilisent les mêmes outils qu’une entreprise pour gérer une campagne de marketing afin d’optimiser leurs propres campagnes d’attaques, augmentant ainsi la probabilité que l’utilisateur morde à l’hameçon. Pour se protéger contre les cybermalfaiteurs disposant de ressources importantes, les organisations doivent appliquer les principes zero trust, en isolant et en limitant les activités à risque telles que l’ouverture de pièces jointes, les clics sur des liens et les téléchargements à partir d’un navigateur."

HP Wolf Security* exécute les tâches risquées telles que l’ouverture de pièces jointes, le téléchargement de fichiers et le clic sur des liens dans des micro-machines virtuelles (micro-VM) isolées pour protéger les utilisateurs. Il enregistre également des informations détaillées sur les tentatives de piratage. La technologie d’isolation des applications de HP limite les menaces qui pourraient échapper à d’autres outils de sécurité. Elle fournit de surcroît de précieuses informations sur les nouvelles techniques d’intrusion et sur le comportement des cybercriminels.

