HP Wolf Security souligne le danger de l’ingénierie sociale avancée et de l’utilisation de techniques de « living-off-the-land » pour échapper à la détection.
Les cybercriminels utilisent des méthodes de plus en plus sophistiquées pour contourner les systèmes de sécurité. C’est ce qui ressort du dernier rapport Threat Insights de HP Wolf Security. Les attaquants utilisent de fausses factures PDF réalistes, qui semblent avoir été ouvertes avec Adobe Acrobat Reader. Cependant, les fichiers contiennent un reverse shell caché qui permet aux attaquants de prendre le contrôle d’un appareil.
Cyberaanvallen tijdens thuiswerk blijven toenemen
IT-teams zien een toename in het aantal werknemers dat kwaadaardige bijlagen opent, wat leidt tot meer heropbouw van geïnfecteerde machines. Thuiswerk maakt het moeilijker…
Ingénierie sociale avec des logiciels de confiance
Le rapport indique que les cybercriminels utilisent de plus en plus les techniques de « living-off-the-land » (LOTL) et de phishing. Ils utilisent ainsi les fonctions existantes au sein des systèmes d’exploitation pour exécuter des malwares sans que l’utilisateur ne s’en aperçoive. Grâce à l’ingénierie sociale, c’est-à-dire en se faisant passer pour des instances ou des personnes officielles, ils prennent le contrôle de l’ensemble du système. Dans l’une des attaques étudiées, un script malveillant était caché dans une image SVG à l’intérieur d’un fichier PDF qui ressemblait à une facture d’Adobe. L’attaque visait les utilisateurs germanophones afin de retarder la détection par les systèmes automatisés.
Une autre attaque cachait des malwares dans les données de pixels d’images dans des pages HTML. Ces fichiers ont activé une chaîne d’infection qui utilisait notamment PowerShell et effaçait finalement toutes les traces de l’attaque.
Les anciennes techniques sont affinées
Selon HP, les attaquants utilisent de plus en plus des combinaisons de types de fichiers et d’outils système moins visibles. « Ils ne réinventent pas la roue, mais ils affinent leurs techniques. Le « living-off-the-land », les reverse shells et le phishing existent depuis des années, mais ils perfectionnent ces méthodes », explique Alex Holland de HP Security Lab. « En exécutant des malwares dans des conteneurs protégés, HP Wolf Security peut analyser ces techniques sans risque pour les utilisateurs finaux. »
Le rapport montre notamment que 13 % des menaces d’e-mails détectées ont réussi à contourner au moins une couche de sécurité. Les fichiers d’archives tels que .rar restent une méthode populaire pour diffuser du code malveillant. Pelle Aardewerk, Cyber Security Consultancy Lead EMEA chez HP, souligne que les entreprises doivent continuer à miser sur l’isolement préventif et l’analyse comportementale afin de détecter les attaques avancées avant qu’elles ne causent des dommages.
lire aussi
Hoe herken je phishing-e-mails?
