Le dernier rapport HP Wolf Security Threat Insights souligne que ces kits de logiciels malveillants prêts à l’emploi sont particulièrement dangereux puisqu’ils permettent aux cybercriminels d’échapper aux outils de détection et de pénétrer ainsi plus facilement dans les infrastructures des entreprises afin de voler leurs données sensibles. Les cyberattaquants les moins expérimentés ont désormais les outils nécessaires pour contourner la détection et toucher leurs futures victimes.
Sur la base des données recueillies auprès de millions d’appareils équipés de la suite HP Wolf Security, les chercheurs ont fait les constats suivants :
- Houdini’s Last Act : une nouvelle campagne a ciblé les entreprises avec de faux documents dissimulant le logiciel malveillant JavaScript Vjw0rm. Son code obscurci a permis au logiciel d'échapper aux systèmes de protection des courriels et d'atteindre les terminaux. L'attaque analysée a diffusé Houdini, un RAT VBScript âgé de 10 ans. Cela prouve qu’avec des outils « prêts à l’emploi », les pirates peuvent encore utiliser efficacement des malwares anciens en abusant des fonctions de script intégrées dans les systèmes d'exploitation.
- Les cybercriminels ont recours à des attaques « Jekyll and Hyde » : HP a également découvert une campagne RAT Parallax qui lance deux threads lorsqu'un utilisateur ouvre une facture scannée conçue pour tromper les utilisateurs. Le fil «Jekyll» ouvre une facture-leurre copiée à partir d'un modèle en ligne officiel, tandis que le fil « Hyde » exécute le logiciel malveillant en arrière-plan. Cette attaque est facile à réaliser pour les hackers, puisque des kits Parallax sont disponibles sur des forums de piratage pour 65 $ par mois.
Alex Holland, Senior Malware Analyst au sein de l’équipe de recherche HP Wolf Security, observe : " Aujourd'hui, les cyber-malfaiteurs peuvent facilement acheter des Meal Kits de logiciels malveillants, entièrement prêts à l’emploi, qui infectent les systèmes en un seul clic. Au lieu de créer leurs propres outils, les cybercriminels novices peuvent se procurer des kits qui s’adaptent à leur environnement. Ces attaques furtives sont souvent plus difficiles à détecter en raison des exclusions d'outils de sécurité à usage administratif. Pour contenir le risque de kits de logiciels malveillants prêts à l’emploi, les entreprises devraient isoler les activités à haut risque, comme l'ouverture de pièces jointes, les clics sur des liens et les téléchargements. Cela réduirait considérablement le potentiel de violation en limitant la surface d'attaque."
Selon HP, les hackers appliquent une forme de « bizutage » auprès des cybercriminels en herbe en hébergeant de faux kits de construction de logiciels malveillants sur des plateformes de partage de code telles que GitHub. Ces dépôts de codes malveillants conduisent les cyberattaquants novices à infecter leurs propres machines. L'un des kits de logiciels malveillants les plus populaires, XWorm, est proposé sur les marchés clandestins autour de 500$, incitant les cybercriminels au budget restreint à acheter de fausses versions piratées.
En isolant les menaces qui ont échappé aux outils de détection des PC - tout en permettant aux logiciels malveillants d’être déclenchés en toute sécurité pour en permettre l’analyse -, HP Wolf Security a une vue précise sur les dernières techniques utilisées par les cybercriminels. À ce jour, les clients de HP Wolf Security ont cliqué sur plus de 30 milliards de pièces jointes, de pages web et de fichiers téléchargés, sans qu'aucune infection n'ait été signalée.
Le rapport explique précisément comment les cybercriminels continuent de diversifier leurs méthodes d'attaque pour contourner les politiques de sécurité et les outils de détection. Les principales conclusions de ce rapport sont les suivantes :
- Les archives représentent le type de diffusion de logiciels malveillants le plus populaire pour le 6ème trimestre consécutif. Elles sont utilisées dans 36 % des cas analysés par HP.
- Bien qu'elles soient désactivées par défaut, les menaces de macro-instruction Excel (.xlam) se sont hissées au 7ème rang des extensions de fichiers les plus utilisées par les attaquants au 3ème trimestre, alors qu'elles occupaient la 46ème place au 2ème trimestre 2023. Des campagnes de logiciels malveillants utilisant des modules d'extension PowerPoint ont également été lancées au 3èmetrimestre.
- Au moins 12 % des menaces par courriel identifiées par HP Sure Click ont contourné un ou plusieurs scanners de passerelle de messagerie au 4ème trimestre 2022 et 2ème trimestre 2023.
- Le 3ème trimestre a connu une augmentation des attaques utilisant des failles dans les formats Excel (91 %) et Word (68 %).
- Le nombre de menaces PDF isolées par HP Wolf Security a augmenté de 5% par rapport au 2ème trimestre 2023.
- Les principaux vecteurs de menace au 3ème trimestre 2023 étaient le courrier électronique (80 %) et les téléchargements à partir de navigateurs (11 %).
« Bien que les outils permettant de concevoir des attaques furtives soient accessibles, les cyberattaquants comptent toujours sur le clic de l'utilisateur », poursuit Alex Holland. « Pour contenir le risque de kits de logiciels malveillants prêts-à-l’emploi, les entreprises devraient isoler les activités à haut risque, comme l'ouverture de pièces jointes, les clics sur des liens et les téléchargements. Cela réduirait considérablement le potentiel de violation en limitant la surface d'attaque. »
HP Wolf Security exécute les tâches risquées telles que l'ouverture de pièces jointes, le téléchargement de fichiers et le clic sur des liens dans des micro-machines virtuelles (micro-VM) isolées pour protéger les utilisateurs. Il enregistre également des informations détaillées sur les tentatives de piratage. La technologie d'isolation des applications de HP limite les menaces qui pourraient échapper à d'autres outils de sécurité. Elle fournit de surcroît de précieuses informations sur les nouvelles techniques d'intrusion et sur le comportement des cybercriminels.
A propos des données : données collectées anonymement à partir des machines virtuelles des clients HP Wolf Security entre juillet et septembre 2023.
Auteur : HP Wolf Security.
Continuer avec Linkedin