Les attaquants combinent de plus en plus différentes techniques d’attaque pour déjouer la sécurité, selon une étude de HP.
HP a publié son dernier Threat Insights Report, dans lequel il avertit que les techniques de cyberattaque classiques telles que le « living-off-the-land » (LOTL) et le phishing sont encore souvent utilisées, mais sont mises en œuvre de manière de plus en plus intelligente pour contourner les systèmes de sécurité.
Cyberaanvallen tijdens thuiswerk blijven toenemen
IT-teams zien een toename in het aantal werknemers dat kwaadaardige bijlagen opent, wat leidt tot meer heropbouw van geïnfecteerde machines. Thuiswerk maakt het moeilijker…
Living off the land
Les attaques de type « living-off-the-land » utilisent des outils et des fonctions légitimes déjà présents sur un ordinateur. Selon HP Threat Researchers, il devient de plus en plus difficile pour les équipes de sécurité de distinguer les activités malveillantes de l’utilisation normale du système, car les attaquants combinent plusieurs fichiers binaires au sein d’une même campagne d’attaque.
Le rapport analyse des exemples de cyberattaques et offre aux organisations un aperçu de la manière dont les cybercriminels continuent d’échapper à la détection et d’infiltrer les PC. Les conclusions sont basées sur les données de millions de terminaux protégés par HP Wolf Security.
Campagnes d’attaque marquantes
HP a notamment identifié les campagnes suivantes :
Phishing avec de faux fichiers Adobe Reader
Une fausse facture Adobe Reader a provoqué une nouvelle vague d’attaques d’ingénierie sociale. Les attaquants placent un script de reverse shell dans une petite image SVG, ce qui leur permet de prendre le contrôle du système. Cette image ressemblait à un fichier Adobe Acrobat Reader. Le téléchargement a été diffusé uniquement dans les régions germanophones afin de retarder la détection.
Malware caché dans les pixels d’images
Dans une autre campagne, les attaquants ont exploité des fichiers « HTML Help ». Du code a été caché dans les données de pixels d’images, et ces pixels contenaient un virus caché qui, après ouverture, infecte le système en plusieurs étapes avec différentes techniques. PowerShell a été utilisé pour démarrer un fichier CMD qui effaçait presque toute trace du malware.
Lumma Stealer revient via des archives IMG
Lumma Stealer était l’un des malwares les plus actifs au deuxième trimestre de 2025. Il s’agit d’un infostealer qui peut dérober des données à partir de différents navigateurs et applications. Le malware a été diffusé via plusieurs canaux, notamment des pièces jointes dans des archives IMG. Ici aussi, des techniques LOTL ont été utilisées pour contourner la sécurité et abuser des systèmes de confiance. Malgré une approche ferme de la part des forces de l’ordre en mai 2025, les campagnes se sont poursuivies en juin. Le groupe enregistre toujours des domaines et continue de développer son infrastructure.
lire aussi
Welke soorten malware bestaan er?
Les attaquants affinent les techniques existantes
Selon Alex Holland, Principal Threat Researcher chez HP Security Lab, la force des attaques modernes ne réside pas dans les nouvelles techniques, mais dans le raffinement : « Les attaquants ne réinventent pas la roue, mais affinent les méthodes existantes. Les attaques de type « living-off-the-land », les reverse shells et le phishing existent depuis des décennies, mais aujourd’hui, ils sont combinés de manière plus intelligente. Nous constatons de plus en plus que les attaquants utilisent des types de fichiers moins évidents, tels que des images, pour rester sous le radar. »
Il souligne qu’un cheval de Troie d’accès à distance complet n’est souvent même plus nécessaire :
Chiffres du rapport
Le rapport HP Threat Insights, qui analyse les données d’avril à juin 2025 inclus, montre comment les cybercriminels continuent de diversifier leurs méthodes d’attaque :
- Au moins 13 % des menaces par e-mail identifiées par HP Sure Click ont réussi à contourner un ou plusieurs scanners de passerelle de messagerie.
- Les fichiers d’archive étaient les plus populaires pour installer des malwares (40 %), suivis par les fichiers exécutables et les scripts (35 %).
- Les fichiers .rar restent populaires (26 %), car les attaquants abusent de logiciels de confiance tels que WinRAR parce que les utilisateurs leur font confiance.
