Le rapport HP donne un aperçu du comportement et de la circulation des logiciels malveillants. Contrairement aux autres outils de sécurité des terminaux, qui visent à prévenir ou parer une attaque, HP Sure Click laisse les logiciels malveillants s’exécuter, ce qui permet de les piéger, tout en capturant l’ensemble de la chaîne d’exécution dans une micro-machine virtuelle isolée. Quelques exemples sont à mentionner :

• Les sites web trompeurs menant à FickerStealer : il s’agit d’une attaque de logiciels malveillants fondée sur des domaines mal orthographiés pour tromper les nombreux utilisateurs de services de messagerie instantanée. Les utilisateurs étaient redirigés vers les pages d’accueil de RigEK qui tentaient d’exploiter les vulnérabilités du navigateur web et des plugins pour infecter les systèmes avec le malware FickerStealer.
• Les leurres utilisés dans les envois ciblés incitent les utilisateurs à laisser entrer les trojans : un nouveau type d’Office Builder appelé APOMacroSploit a ciblé les utilisateurs via des attaques de spam pour les inciter à ouvrir des pièces jointes .xls infectées. Cela a conduit au déploiement du cheval de Troie d’accès à distance BitRAT sur les ordinateurs des victimes.
• Une recrudescence des attaques via le cheval de Troie ZLoader : le cheval de Troie ZLoader a multiplié les attaques dans le secteur bancaire, en utilisant une combinaison de techniques - notamment des chargeurs de documents Word malveillants qui font en sorte qu’une macro VBA ne s’exécute qu’après la fermeture du document.
• Les techniques de DOSfuscation : la dernière vague d’attaques d’Emotet avant son démantèlement en janvier dernier, a été marquée par l’utilisation d’une technique rare appelée DOSfuscation. Elle consiste à faire apparaître des messages d’erreur lorsqu’un fichier corrompu est ouvert afin de tromper l’utilisateur.
• Le détournement de messages d’instances gouvernementales : des attaques par détournement d’e-mails visant des services gouvernementaux en Amérique Centrale ont été observées. Les boîtes de réception sont usurpées, puis utilisées pour déployer des chaînes d’e-mails intégrant des logiciels malveillants.

« Les cybercriminels innovent constamment. Ces cas montrent à quel point les logiciels malveillants sont bien conçus et réussissent à échapper à la détection », commente Alex Holland, analyste principal des logiciels malveillants chez HP Inc. « Cela fait courir de sérieux risques aux entreprises. Le déploiement de trojans sur votre machine peut donner le contrôle aux cybercriminels, leur permettant d’espionner, d’exfiltrer des données ou d’utiliser cette machine pour déployer d’autres logiciels malveillants. Les outils et conseils pour ces attaques se vendent en ligne pour seulement 50 $. Certaines variantes de logiciels malveillants reviennent à la mode. Le Fickerstealer, par exemple, a fait son apparition en 2017, permettant aux cybercriminels de dérober des informations sensibles, telles que des mots de passe, des formulaires automatiques des navigateurs et des portefeuilles de cryptomonnaies. ZLoader a également attaqué de manière exponentielle ces derniers temps. Grâce à une nouvelle approche, certains cybercriminels se font passer pour les employés de laboratoires pharmaceutiques impliqués dans des essais cliniques ».

Le rapport livre également plusieurs observations :
• Les chevaux de Troie représentent 66 % des logiciels malveillants analysés, en grande partie à cause des attaques de spams impliquant les logiciels malveillants Dridex, dont la prévalence a augmenté de 239 % selon un récent article d’HP.
• 88 % des logiciels malveillants détectés ont été transmis par e-mail - les leurres les plus courants étant les fausses factures en pièces jointes - tandis que les téléchargements sur le web sont responsables des 12 % restants.
• Les pièces jointes malveillantes les plus courantes sont les suivantes : documents (31 %), fichiers d’archives (28 %), feuilles de calcul (19 %) et fichiers exécutables (17 %).
• Les fichiers exécutables malveillants ont augmenté de 12 %, le CVE-2017-11882, une corruption de la mémoire du logiciel Editor Equation de Microsoft Office - représentant près des trois quarts des corruptions isolées par HP Sure Click.
• Une croissance de 12% des logiciels malveillants qui exploitent le CVE-2017-0199. Ce dernier peut intégrer un script malveillant contenant des commandes PowerShell pour déployer des logiciels malveillants lorsqu’un utilisateur ouvre un document Office.

« Les cybercriminels délaissent les documents Word pour des fichiers exécutables afin de déployer des trojans. Par exemple, le programme de vol de mots de passe « Agent Tesla » force les ordinateurs à effectuer une tâche telle que l’affichage d’un message d’erreur, pour masquer le fait qu’il télécharge un logiciel malveillant à partir d’un domaine d’hébergement », poursuit Alex Holland. « Nous avons également constaté une augmentation spectaculaire des attaques Dridex, pour lesquelles les cybercriminels utilisent un cheval de Troie pour infiltrer les systèmes avant de déployer des rançongiciels. Les cybercriminels utilisent aussi régulièrement le CVE-2017-11882 pour exécuter un code arbitraire une fois qu’un fichier malveillant est ouvert et déployer des logiciels malveillants sur les terminaux vulnérables ».

« Ce rapport montre que les entreprises, quelle que soit leur taille, doivent améliorer leur sécurité contre les cybermenaces. Les logiciels malveillants se multiplient et les cybercriminels utilisent des techniques de moins en moins détectables », explique Dr Ian Pratt, responsable mondial de la sécurité des systèmes personnels chez HP. « Ils ont accès aux outils de sécurité les plus courants, ce qui leur permet d’exécuter leur code et de le modifier jusqu’à ce qu’il passe. Ils n’ont besoin que de quelques jours d’avance pour avoir un réel impact, et grâce à l’automatisation, ce processus est désormais plus simple. Essayer de détecter chaque menace est un travail sans fin, nous devons traiter le sujet à la racine ».

« La meilleure façon d’y parvenir est de contenir et d’isoler les menaces par la virtualisation, car celle-ci rend les logiciels malveillants inoffensifs en les isolant dans une machine micro-virtuelle », poursuit Dr Ian Pratt. « En intégrant la sécurité au niveau du matériel, les terminaux peuvent aider à la politique globale de sécurité, et ainsi améliorer la résilience de l’entreprise, lui permettant de continuer leur activité sereinement, sachant que leurs utilisateurs et leurs données sont protégés ».

Ces données ont été recueillies au sein des machines virtuelles HP Sure Click d’octobre à décembre 2020.

*S’appuyant sur l’analyse de VirusTotal, un outil qui regroupe les données sur les logiciels malveillants provenant des antivirus et des moteurs d’analyse en