Dans son dernier rapport sur les cybermenaces HP Wolf Security pour le 3ème trimestre 2022, HP révèle que les formats de fichiers d’archives tels que les fichiers Zip et Rar représentent aujourd’hui le type de fichier le plus courant pour diffuser des logiciels malveillants.
Ces derniers dépassent les fichiers Office pour la première fois en trois ans. Sur la base de données provenant de millions de terminaux HP Wolf Security, l’étude chiffre que 44 % des logiciels malveillants sont diffusés au sein de fichiers d’archives, soit une augmentation de 11 % par rapport au trimestre précédent, contre 32 % dans des fichiers Office tels que Microsoft Word, Excel et PowerPoint.
Le rapport a identifié plusieurs campagnes qui combinent l’utilisation de fichiers d’archives avec les nouvelles techniques de corruption HTML afin de lancer des cyberattaques : les cybercriminels intègrent des fichiers d’archives malveillants dans des fichiers HTML pour contourner les passerelles de messagerie.
Des attaques plus difficiles à détecter
Par exemple, les récentes campagnes QakBot et IceID s’appuyaient sur des fichiers HTML pour inciter les utilisateurs à cliquer vers de faux lecteurs de documents en ligne – en usurpant l’identité d’Adobe. Les utilisateurs étaient ensuite invités à ouvrir un fichier Zip et à saisir un mot de passe pour décompresser les fichiers qui lançaient le déploiement d’un logiciel malveillant sur le PC.
Comme le logiciel malveillant est codé et chiffré au sein du fichier HTML d’origine, sa détection par les passerelles de messagerie ou d’autres outils de sécurité s’avère très complexe. Les cyberattaquants s’appuient donc sur l’ingénierie sociale, via la création de pages Web très convaincantes et parfaitement conçues, ou encore via le développement de fausses pages Google Drive, pour inciter les internautes à ouvrir un fichier Zip malveillant.
« Alors que les archives sont relativement simples à chiffrer, les cybercriminels arrivent à dissimuler des logiciels malveillants et à échapper aux proxies web, aux environnements sandbox et aux scans de vérification d’e-mails. Les attaques sont ainsi plus difficiles à détecter, d’autant plus lorsqu’elles sont combinées à des techniques de HTML smuggling. L’effort déployé pour créer de fausses pages s’est avéré particulièrement intéressant dans le cadre des campagnes QakBot et IceID : ces campagnes étaient plus sophistiquées que celles que nous avions observées auparavant. Il était donc difficile pour les internautes de savoir à quels fichiers se fier », explique Alex Holland, Senior Malware Analyst dans l’équipe de recherche en cybersécurité HP Wolf Security.
HP a également identifié une campagne complexe s’appuyant sur une chaîne d’infection spécifique. Elle pourrait potentiellement permettre aux attaquants de charger des codes malveillants en cours de campagne, tels qu’un spyware, un ransomware ou un keylogger, voire d’introduire de nouvelles fonctionnalités telles que la géolocalisation. Cette méthode permet à un attaquant de changer de tactique en fonction de sa cible. Si le logiciel malveillant n’est pas inclus dans la pièce jointe envoyée à une cible, les passerelles de messageries peuvent difficilement détecter ce type d’attaques.
« Les cybercriminels changent constamment de techniques et sont parfois très difficiles à repérer », commente Ian Pratt, Global Head of Security pour les systèmes personnels chez HP. « En s’appuyant sur le principe de Zero Trust, les entreprises peuvent utiliser la micro-virtualisation pour s’assurer que les tâches potentiellement malveillantes (comme cliquer sur des liens ou ouvrir des pièces jointes malveillantes) sont exécutées au sein d’une machine virtuelle « jetable », complètement séparée des systèmes sous-jacents. Ce processus est totalement invisible pour l’utilisateur et réussit à isoler tout logiciel malveillant. Une approche qui permet de bloquer l’accès à toutes les données sensibles. »
Hélène Saire
