SécuritéLes attaquants continuent de se réinventer, conclut HP dans un rapport de recherche. Les campagnes de logiciels malveillants sont redirigées vers des plateformes publicitaires légitimes afin de mesurer la fréquence des clics sur les liens malveillants.
Tous les trois mois, HP publie une analyse des données issues de son logiciel Wolf Security pour les ordinateurs portables professionnels. Le dernier rapport révèle des tendances frappantes. Les pirates se comportent désormais comme des professionnels du marketing, utilisant l’analyse des publicités pour mesurer les astuces qui marchent et celles qui ne marchent pas.
Mesurer par clic
Pour ce faire, ils utilisent le logiciel malveillant « Darkgate », qui a récemment fait son apparition dans les applications Microsoft Office, telles que Microsoft Teams. DarkGate permet aux cybercriminels d’accéder aux réseaux par des portes dérobées. L’un des schémas d’attaque que HP observe fréquemment consiste à dissimuler le logiciel malveillant derrière des messages d’erreur OneDrive. Ceux-ci semblent réalistes et incitent les utilisateurs imprudents à cliquer sur un lien de téléchargement.
Cela ressemble à une cyberattaque ordinaire, mais ce n’est pas le cas. Les victimes sont d’abord redirigées vers un contenu sponsorisé hébergé sur un réseau publicitaire populaire. En utilisant les services publicitaires, les acteurs malveillants peuvent analyser les appâts qui génèrent des clics et infectent le plus grand nombre d’utilisateurs, ce qui leur permet d’affiner leurs campagnes pour en maximiser l’impact. Tout comme les agences de marketing utilisent des outils d’analyse pour mesurer le succès des campagnes de publipostage.
Pelle Aardewerk, Cyber Security Consultancy Lead EMEA chez HP, explique : « Les cybercriminels utilisent les mêmes outils qu’une entreprise pour gérer une campagne de marketing afin d’optimiser leurs campagnes de logiciels malveillants, ce qui augmente les chances que les utilisateurs tombent dans le panneau. Pour se protéger contre des acteurs bien équipés, les entreprises doivent appliquer les principes de la confiance zéro, en isolant et en limitant les activités à risque telles que l’ouverture de pièces jointes, les clics sur des liens et les téléchargements à partir du navigateur. »
Les macros ne sont pas encore épuisées
C’est loin d’être la seule tendance notable que HP décrit dans son rapport. Depuis que Microsoft a restreint les macros Office, elles sont devenues de moins en moins courantes, mais il existe encore des campagnes utilisant ce vieux classique. Toutefois, ce sont surtout les exploits Office et les PDF qui sont considérés comme un accès intéressant par les attaquants. Onze pour cent des logiciels malveillants analysés se cachaient derrière un fichier PDF.
Enfin, les attaquants parviennent de mieux en mieux à échapper aux outils de détection. Au moins 14 % des menaces par courrier électronique ont contourné un ou plusieurs scanners de passerelle de courrier électronique. Les CAPTCHA sont également un déguisement populaire pour cacher les logiciels malveillants dans les bacs à sable. Les acteurs malveillants utilisent également des sites web légitimes de partage de fichiers (tels que Discord) et de textes pour héberger des fichiers malveillants. Les organisations font souvent confiance à ces sites, ce qui leur permet de contourner les scanners anti-programmes malveillants et les attaquants ont plus de chances de passer inaperçus.
