Le dernier rapport de HP Wolf Security, Threat Insights, révèle que le marché de la cybercriminalité rend désormais accessible aux attaquants les moins expérimentés des outils, appelés Meal Kits, en mesure de contourner la détection et impacter les utilisateurs. Il révèle aussi que les cybercriminels s’adonneraient à la pratique du bizutage des nouveaux entrants.
Avec plus de 30 milliards de pièces jointes, de pages web et de fichiers téléchargés cliquées par les utilisateurs de sa solution, HP Wolf Security bénéficie d’une vision assez exhaustive de ce qui se passe dans l’univers de la cybercriminalité, notamment en termes de techniques utilisées les attaquants. “Aujourd’hui, les cyber-malfaiteurs peuvent facilement acheter des Meal Kits de logiciels malveillants prêts-à-l’emploi et accessibles, qui infectent les systèmes en un seul clic, explique Alex Holland, Senior Malware Analyst au sein de l’équipe de recherche HP Wolf Security. Au lieu de créer leurs propres outils, les cybercriminels novices peuvent se procurer des kits qui s’adaptent à leur environnement. Ces attaques furtives sont souvent plus difficiles à détecter en raison des exclusions d’outils de sécurité à usage administratif, comme l’automatisation.”
Des stratagèmes pour malmener les “Cyber Bizuts”
Mais attention ! Les chercheurs de la multinationale américaine raconte que n’est pas cybercriminel qui veut. Visiblement les hackers pratiqueraient un bizutage des pirates en herbe en hébergeant de faux kits de construction de logiciels malveillants sur des plateformes de partage de code telles que GitHub. Ces dépôts de codes malveillants conduisent les cyberattaquants novices à infecter… leurs propres machines. XWorm, par exemple, un des kits de logiciels malveillants les plus populaires, est proposé sur les marchés clandestins autour de 500$, incitant les cybercriminels au budget restreint à acheter de fausses versions piratées.
Dr Jekyll, Mr Hyde et Houdini dans l’arène cyber
Sur la base des données recueillies auprès de millions d’appareils équipés de la suite HP Wolf Security, les chercheurs ont observé qu’une nouvelle variante du malware Houdini a visé les entreprises en utilisant des documents falsifiés dissimulant le logiciel malveillant JavaScript Vjw0rm. Grâce à son code obscurci, le logiciel a réussi à contourner les systèmes de protection des courriels, parvenant ainsi à infecter les terminaux ciblés. L’attaque en question a propagé Houdini, un RAT VBScript vieux de 10 ans, démontrant que les pirates peuvent encore exploiter efficacement d’anciens malwares en tirant parti des fonctions de script intégrées dans les systèmes d’exploitation, en utilisant des outils “prêts à l’emploi”. Les cybercriminels adoptent également des tactiques d’attaques de type “Jekyll and Hyde”. HP a révélé la découverte d’une campagne RAT Parallax qui déploie deux threads lorsqu’un utilisateur ouvre une facture scannée conçue pour tromper. Le thread “Jekyll” affiche une fausse facture copiée d’un modèle en ligne officiel pour détourner l’attention de l’utilisateur, tandis que le thread “Hyde” exécute discrètement le logiciel malveillant en arrière-plan. Cette méthode d’attaque devient plus accessible aux hackers grâce à la disponibilité de kits Parallax sur des forums de piratage, accessibles pour 65 $ par mois.
Des méthodes de plus en plus diversifiées
Le rapport explique précisément comment les cybercriminels continuent de diversifier leurs méthodes d’attaque pour contourner les politiques de sécurité et les outils de détection. Les principales conclusions de ce rapport sont les suivantes :
- Les archives représentent le type de diffusion de logiciels malveillants le plus populaire pour le 6ème trimestre consécutif. Elles sont utilisées dans 36 % des cas analysés par HP.
- Bien qu’elles soient désactivées par défaut, les menaces de macro-instruction Excel (.xlam) se sont hissées au 7ème rang des extensions de fichiers les plus utilisées par les attaquants au 3ème trimestre, alors qu’elles occupaient la 46ème place au 2ème trimestre 2023. Des campagnes de logiciels malveillants utilisant des modules d’extension PowerPoint ont également été lancées au 3èmetrimestre.
- Au moins 12 % des menaces par courriel identifiées par HP Sure Click ont contourné un ou plusieurs scanners de passerelle de messagerie au 4ème trimestre 2022 et 2ème trimestre 2023.
- Le 3ème trimestre a connu une augmentation des attaques utilisant des failles dans les formats Excel (91 %) et Word (68 %).
- Le nombre de menaces PDF isolées par HP Wolf Security a augmenté de 5% par rapport au 2ème trimestre 2023.
- Les principaux vecteurs de menace au 3ème trimestre 2023 étaient le courrier électronique (80 %) et les téléchargements à partir de navigateurs (11 %).
- « Bien que les outils permettant de concevoir des attaques furtives soient accessibles, les cyberattaquants comptent toujours sur le clic de l’utilisateur », poursuit Alex Holland. « Pour contenir le risque de kits de logiciels malveillants prêts-à-l’emploi, les entreprises devraient isoler les activités à haut risque, comme l’ouverture de pièces jointes, les clics sur des liens et les téléchargements. Cela réduirait considérablement le potentiel de violation en limitant la surface d’attaque. »
