Une étude inédite décortique l’écosystème cybercriminel à l’origine de la récente augmentation du nombre de macros malveillantes.
Le rapport intitulé « The Cybercrime Economics of Malicious Macros » publié par Proofpoint identifie les facteurs économiques et techniques responsables de l’augmentation récente du nombre de macros malveillantes à l’échelle internationale. Ces dernières ont notamment permis d’installer le cheval de Troie Dridex (voir notre article). Sur les neuf derniers mois, elles ont permis aux cybercriminels d’atteindre plus de cibles tout en leur assurant un meilleur retour sur investissement.
Le rapport combine une analyse technique, portant sur les logiciels malveillants créés par leurs développeurs, et une enquête dans le milieu cybercriminel. Les résultats indiquent que les taux de réussite élevés et la rentabilité des macros malveillantes ont modifié rapidement et considérablement le paysage des menaces transmises par courrier électronique. Avant le deuxième semestre 2014, les cybercriminels comptaient en grande majorité sur les URL malveillantes pour propager leurs logiciels, au travers d’importantes campagnes d’hameçonnage par courrier non sollicité. Leur approche a radicalement changé en septembre 2014, lorsque les cybercriminels ont majoritairement commencé à utiliser des pièces jointes Microsoft Word malveillantes (et notamment le cheval de Troie Dridex). Cette tendance ne faiblit pas à l’approche de l’été 2015. Les chercheurs de Proofpoint ont recensé 56 campagnes de distribution Dridex entre avril et mai 2015. Certaines d’entre elles impliquaient l’envoi, en une seule journée, de plusieurs millions de courriers électroniques contenant des documents infectés par ce cheval de Troie.
« La cybercriminalité engendre d’importants revenus et les responsables n’hésitent plus à cibler directement les utilisateurs, afin de contourner les systèmes de protection automatiques », commente Kevin Epstein, vice-président de la division Gestion et sécurité avancée de Proofpoint. « Les criminels encouragent l’utilisation des macros malveillantes et se tiennent au fait de leurs taux de réussite, ce qui indique que cette stratégie est devenue populaire. Le principe est simple : les macros malveillantes sont efficaces et peu onéreuses, ce qui permet aux pirates informatiques d’augmenter leur rentabilité. Malheureusement, cela implique que les macros malveillantes ne disparaitront pas de sitôt. »
Les six principales conclusions du rapport
1 Les campagnes reposent beaucoup sur le facteur humain. Les macros malveillantes sont flexibles et d’une simplicité trompeuse. Elles sont devenues la principale menace, au détriment des URL, au travers de campagnes de courriers comprenant des pièces jointes. Les techniques d’hameçonnage ainsi utilisées tendent à exploiter le facteur humain et encouragent les utilisateurs à cliquer, évitant de nombreux contrôles de sandboxing automatisés.
2 Les campagnes induisant des macros sont de plus en plus sophistiquées et échappent à de nombreuses méthodes modernes de détection, y compris le sandboxing. Les campagnes de macros contemporaines parviennent à déjouer très facilement les systèmes de protection basés sur la signature et sur la réputation, ainsi que les techniques de sandboxing comportemental plus récentes.
3 L’efficacité est un facteur clé. Leurs taux de réussite élevés, ainsi que la rentabilité des macros malveillantes de plus en plus sophistiquées, expliquent la résurgence des attaques par courriers contenant des logiciels malveillants.
4 Les campagnes induisant des pièces jointes avec macro malveillante ont gagné en envergure et en fréquence. Proofpoint estime que leur croissance cessera uniquement le jour où l’augmentation des coûts ou la réduction de leur efficacité aura des conséquences sur le retour sur investissement dont elles permettent de bénéficier.
5 Les campagnes sont menées par des experts. Bien que les macros malveillantes soient faciles à utiliser pour les pirates informatiques, les plus grandes campagnes continuent de propager des logiciels malveillants, comme Dyre et Dridex. Seuls les criminels possédant des connaissances solides disposent de l’expertise nécessaire pour exploiter efficacement ces campagnes.
6 Le faible coût et la facilité d’utilisation des macros facilitent le travail des pirates informatiques. Le budget d’une campagne induisant des documents malveillants peut être compris entre 0 et 1 000 $. De plus, les campagnes induisant des courriers non sollicités avec pièce jointe peuvent dépasser en popularité les kits d’exploitation. Il existe toute une variété de services de spam, mais les kits d’exploitation sont vendus dans des milieux clandestins et ne sont pas accessibles aux criminels débutants ou de niveau intermédiaire.
Pour télécharger le rapport complet