Sur la base de données provenant de millions de terminaux HP Wolf Security, l’étude révèle que 44 % des logiciels malveillants sont diffusés au sein de fichiers d’archives - soit une augmentation de 11 % par rapport au trimestre précédent, contre 32 % dans des fichiers Office tels que Microsoft Word, Excel et PowerPoint1.
Le rapport a identifié plusieurs campagnes qui combinent l’utilisation de fichiers d’archives avec les nouvelles techniques de corruption HTML afin de lancer des cyberattaques  : les cybercriminels intègrent des fichiers d’archives malveillants dans des fichiers HTML pour contourner les passerelles de messagerie.

Par exemple, les récentes campagnes QakBot et IceID s’appuyaient sur des fichiers HTML pour inciter les utilisateurs à cliquer vers de faux lecteurs de documents en ligne – en usurpant l’identité d’Adobe. Les utilisateurs étaient ensuite invités à ouvrir un fichier ZIP et à saisir un mot de passe pour décompresser les fichiers qui lançaient le déploiement d’un logiciel malveillant sur le PC.

Comme le logiciel malveillant est codé et chiffré au sein du fichier HTML d’origine, sa détection par les passerelles de messagerie ou d’autres outils de sécurité s’avère très complexe. Les cyberattaquants s’appuient donc sur l’ingénierie sociale, via la création de pages Web très convaincantes et parfaitement conçues, ou encore, via le développement de fausses pages Google Drive, pour inciter les internautes à ouvrir un fichier ZIP malveillant.
« Alors que les archives sont relativement simples à chiffrer, les cybercriminels arrivent à dissimuler des logiciels malveillants et à échapper aux proxies web, aux environnements sandbox et aux scans de vérification d’e-mails. Les attaques sont ainsi plus difficiles à détecter, d’autant plus lorsqu’elles sont combinées à des techniques de HTML smuggling. L’effort déployé pour créer de fausses pages s’est avéré particulièrement intéressant dans le cadre des campagnes QakBot et IceID  : ces campagnes étaient plus sophistiquées que celles que nous avions observées auparavant. Il était donc difficile pour les internautes de savoir à quels fichiers se fier  », explique Alex Holland, Senior Malware Analyst dans l’équipe de recherche en cybersécurité HP Wolf Security.

HP a également identifié une campagne complexe s’appuyant sur une chaîne d’infection spécifique. Elle pourrait potentiellement permettre aux attaquants de charger des codes malveillants en cours de campagne, tels qu’un spyware, un ransomware ou un keylogger ; ou d’introduire de nouvelles fonctionnalités telles que la géolocalisation. Cette méthode permet à un attaquant de changer de tactique en fonction de sa cible. Si le logiciel malveillant n’est pas inclus dans la pièce jointe envoyée à une cible, les passerelles de messageries peuvent difficilement détecter ce type d’attaques.
«  Les cybercriminels changent constamment de techniques et sont parfois très difficiles à repérer », commente Ian Pratt, Global Head of Security pour les systèmes personnels chez HP. «  En s’appuyant sur le principe de Zero Trust, les entreprises peuvent utiliser la micro-virtualisation pour s’assurer que les tâches potentiellement malveillantes (comme cliquer sur des liens ou ouvrir des pièces jointes malveillantes) sont exécutées au sein d’une machine virtuelle « jetable », complètement séparée des systèmes sous-jacents. Ce processus est totalement invisible pour l’utilisateur et réussit à isoler tout logiciel malveillant. Une approche qui permet de bloquer l’accès à toutes les données sensibles.  »

La suite de sécurité HP Wolf Security exécute des tâches risquées telles que l’ouverture de pièces jointes de courriers électroniques, le téléchargement de fichiers et l’ouverture de liens dans des micromachines virtuelles (micro-VM) isolées afin de protéger les utilisateurs en capturant des traces détaillées des tentatives d’infection. La technologie d’isolation des applications de HP bloque les menaces qui peuvent échapper aux autres outils de sécurité et fournit des informations uniques sur les nouvelles techniques d’intrusion et le comportement des cybercriminels. En isolant les menaces ayant potentiellement échappé aux outils de détection, HP Wolf Security dispose d’un aperçu précis des dernières techniques utilisées par les cybercriminels. À ce jour, les clients de HP ont cliqué sur plus de 18 milliards de pièces jointes, pages Web et fichiers téléchargés sans qu’aucune faille de sécurité ne soit signalée.

À propos de cette recherche
Ces données ont été recueillies anonymement sur les machines virtuelles des clients HP Wolf Security entre juillet et septembre 2022.
.