Ces types de fichiers sont les plus couramment utilisés par les pirates pour cacher leurs logiciels malveillants

Ces types de fichiers sont les plus couramment utilisés par les pirates pour cacher leurs logiciels malveillants

Les fichiers ZIP et RAR ont dépassé les documents Office en tant que fichiers les plus couramment utilisés par les cybercriminels pour diffuser des logiciels malveillants, selon une analyse des cyberattaques réelles et des données collectées sur des millions de PC.

La recherche, basé sur les données client par HP Wolf Security constatée entre juillet et septembre de cette année, 42 % des tentatives d’attaques de logiciels malveillants ont utilisé des formats de fichiers d’archive, notamment ZIP et RAR.

Cela signifie que les cyberattaques tentant d’exploiter les formats ZIP et RAR sont plus courantes que celles qui tentent de diffuser des logiciels malveillants à l’aide de documents Microsoft Office tels que les fichiers Microsoft Word et Microsoft Excel, qui ont longtemps été la méthode préférée pour inciter les victimes à télécharger des logiciels malveillants.

Selon les chercheurs, c’est la première fois en plus de trois ans que les fichiers d’archives dépassent les fichiers Microsoft Office en tant que moyen le plus courant de diffuser des logiciels malveillants.

En chiffrant les charges utiles malveillantes et en les cachant dans des fichiers d’archive, il offre aux attaquants un moyen de contourner de nombreuses protections de sécurité.

« Les archives sont faciles à chiffrer, ce qui aide les pirates à dissimuler les logiciels malveillants et à échapper aux proxies Web, aux bacs à sable ou aux analyseurs de messagerie. Cela rend les attaques difficiles à détecter, en particulier lorsqu’elles sont associées à des techniques de contrebande HTML », a déclaré Alex Holland, analyste principal des logiciels malveillants chez HP. Équipe de recherche sur les menaces Wolf Security.

Dans de nombreux cas, les attaquants élaborent des e-mails de phishing qui semblent provenir de marques connues et de fournisseurs de services en ligne, qui tentent d’inciter l’utilisateur à ouvrir et à exécuter le fichier ZIP ou RAR malveillant.

Cela inclut l’utilisation de fichiers HTML malveillants dans des e-mails qui se font passer pour des documents PDF – qui, s’ils sont exécutés, affichent un faux visualiseur de documents en ligne qui décode l’archive ZIP. S’il est téléchargé par l’utilisateur, il l’infectera avec des logiciels malveillants.

Selon l’analyse de HP Wolf Security, l’une des campagnes de logiciels malveillants les plus notoires qui s’appuie désormais sur des archives ZIP et des fichiers HTML malveillants est Qakbot – une famille de logiciels malveillants qui n’est pas seulement utilisée pour voler des données, mais également utilisée comme porte dérobée pour déployer des ransomwares.

Qakbot est réapparu en septembre, avec des messages malveillants envoyés par e-mail, prétendant être liés à des documents en ligne qui devaient être ouverts. Si l’archive était exécutée, elle utilisait des commandes malveillantes pour télécharger et exécuter la charge utile sous la forme d’une bibliothèque de liens dynamiques, puis lancée à l’aide d’outils légitimes – mais couramment abusés – dans Windows.

Peu de temps après, les cybercriminels distribuant IcedID – une forme de logiciel malveillant qui est installé afin de permettre des attaques de rançongiciels pratiques et opérées par l’homme – ont commencé à utiliser un modèle presque identique à celui utilisé par Qakbot pour abuser des fichiers d’archives afin d’inciter les victimes à les télécharger. logiciels malveillants.

Les deux campagnes se sont efforcées de s’assurer que les e-mails et les fausses pages HTML semblaient légitimes pour tromper autant de victimes que possible.

« Ce qui était intéressant avec les campagnes QakBot et IcedID était l’effort déployé pour créer les fausses pages – ces campagnes étaient plus convaincantes que ce que nous avons vu auparavant, rendant difficile pour les gens de savoir à quels fichiers ils peuvent et ne peuvent pas faire confiance « , a déclaré Hollande.

Un groupe de rançongiciels a également été vu abusant des fichiers ZIP et RAR de cette manière. Selon HP Wolf Security, une campagne diffusée par le groupe de rançongiciels Magniber ciblait les utilisateurs à domicile, avec des attaques qui cryptaient les fichiers et exigeaient 2 500 $ des victimes.

Dans ce cas, l’infection commence par un téléchargement à partir d’un site Web contrôlé par un attaquant qui demande aux utilisateurs de télécharger une archive ZIP contenant un fichier JavaScript prétendant être une importante mise à jour logicielle antivirus ou Windows 10. S’il est exécuté et exécuté, il télécharge et installe le ransomware.

Avant cette dernière campagne Magniber, le ransomware se propageait par le biais de fichiers MSI et EXE – mais comme d’autres groupes de cybercriminels, ils ont remarqué le succès qui peut être obtenu en livrant des charges utiles cachées dans des fichiers d’archives.

Les cybercriminels modifient continuellement leurs attaques et le phishing reste l’une des principales méthodes de diffusion de logiciels malveillants car il est souvent difficile de détecter si un e-mail ou des fichiers sont légitimes, en particulier s’ils ont déjà glissé en cachant la charge utile malveillante quelque part où un logiciel antivirus peut ne le détecte pas.

Les utilisateurs sont priés d’être prudents face aux demandes urgentes d’ouverture de liens et de téléchargement de pièces jointes, en particulier de sources inattendues ou inconnues.