Les chercheurs Proofpoint révèlent que :

• En 2022, le nombre total de campagnes utilisant des macros, quelles qu’elles soient, a chuté de près de 66 % et elles n’ont, pour l’instant, quasiment pas été utilisées en 2023. L’ensemble des cybercriminels, des indépendants aux acteurs majeurs de l’écosystème, doivent donc revoir leur approche.
• Face à ce changement majeur, les acteurs de la menace testent différentes chaînes d’attaque et TTP pour diffuser les logiciels malveillants. Proofpoint a notamment observé l’augmentation de l’utilisation de fichiers HTML frauduleux au cours du mois de juin 2022, mais également de fichiers PDF par les cybercriminels de l’IAB en décembre 2022. Cette technique a ensuite été utilisée par des groupes non identifiés lui faisant connaître un pic au premier trimestre 2023.

Des acteurs prolifiques tels que TA577 et TA570, notamment connu pour l’attaque Qbot, ont d’ores et déjà opéré des changements qui sont expliqués par les chercheurs de Proofpoint dans l’étude.

« Les cybercriminels les plus expérimentés ne s’appuient plus sur une ou quelques techniques, mais en développent et itèrent fréquemment de nouvelles. La rapidité des changements pour de nombreux acteurs de la menace suggère qu’ils ont le temps, les capacités et la compréhension du paysage de la menace pour développer et exécuter rapidement de nouvelles techniques. » ont déclaré les chercheurs Proofpoint.