Les fichiers d’archives sont devenus aujourd’hui l’astuce préférée par les hackers pour envoyer des logiciels malveillants. Cette technique de d’hameçonnage passe devant les fichiers Microsoft Office constate l’équipe de HP Wolf Security. C’est une première fois que les fichiers d’archives pour le piratage passe devant les fichiers Microsoft Office.
Comment les cybercriminels utilisent-ils les fichiers d’archives pour le piratage ?
C’est officiel. La technique la plus utilisée pour partager des logiciels malveillants est aujourd’hui les fichiers d’archives aux formats .zip et .rar. En 2022, le HP Wolf Security a noté dans son rapport du troisième semestre 2022 une augmentation des tentatives de phishing à travers les fichiers d’archives. Cette augmentation est estimée à 42 % contre 40 % pour les fichiers Office.
Parallèlement, le taux d’utilisation des archives a aussi augmenté de 22 % au cours de la même période. Cela s’explique par les diverses techniques mises en place pour réduire la signature. Diverses techniques existent aujourd’hui pour chiffrer, rendre moins détectable, classifiable ou identifiables les documents d’archives. Autrement dit, la faille se trouve dans les moyens mis en place pour assurer la sécurité des documents d’archives.
Le rapport explique que les archives captivent et attirent plus les acteurs malveillants, car elles font facilement objet de chiffrement. Cette caractéristique les rend donc difficiles à détecter par les scanners de messagerie, proxys web et les sandboxes. Pour des raisons légitimes, l’utilisation d’archives chiffrées est courante dans diverses organisations. Malheureusement, le rejet des pièces jointes d’archives chiffrées par politique devient difficile. Les fichiers d’archives pour le piratage se retrouvent donc comme un moyen facile pour s’introduire dans les bases de données des structures.
Fichning : autres techniques d’attaque utilisées
Le même rapport mentionne aussi l’augmentation de ce qu’ils ont appelé la « contrebande HTML ». Cette dernière est une méthode destinée à contourner les règles de sécurité par l’usage de fichiers de formats courants.
La plupart des campagnes récentes lancées par le groupe QakBot (Qbot) ont utilisé cette technique pour s’introduire et infecter les systèmes d’information. La popularité de cette nouvelle méthode montre l’abandon des documents Office malveillants pour distribuer des logiciels malveillants.
Cela s’explique aussi par le renforcement de la politique de macros par défaut dans Office par Microsoft. Ce dernier œuvre à verrouiller le format. Cette nouvelle politique rend difficile l’exécution de logiciels malveillants à l’aide de documents pour les hackers.
Par ailleurs, un rapport réalisé par Hornetsecurity en janvier 2022 montre que le mail est le moyen utilisé pour l’envoi de sites malveillants.Les cybercriminels se servent des pièces jointes aux e-mails pour envoyer des sites web sous forme HTML. Cette technique permet aux hackers de contourner les détecteurs d’URL.
Comme autres techniques, le rapport révèle que 14,5 % des fichiers malveillants sont diffusés sous forme de PDF. À eux s’ajoutent, les macros XLM largement utilisées pour 10 % des fichiers.
En outre, le rapport de l’Hornetsecurity indique les types de structure qui subissent les cyberattaques. Ces structures sont souvent dans le domaine du transport, de la recherche et de la fabrication.