Les archives deviennent le format préféré pour la diffusion de logiciels malveillants
L’équipe de HP Wolf Security constate que les cyberdélinquants préfèrent désormais utiliser les fichiers d’archives pour distribuer des logiciels malveillants, devant les fichiers Microsoft Office. Une première.
Les fichiers d’archive aux formats .zip et .rar sont désormais la méthode la plus populaire de distribution de logiciels malveillants. Et c’est une première. Historiquement, les fichiers bureautiques Microsoft Office ont les faveurs des cyberdélinquants.
Le rapport fait également état d’une hausse significative de la popularité des archives, ces formats ayant vu leur utilisation augmenter de quelque 22 % depuis le premier trimestre de l’année. Pour l’équipe HP Wolf Security, la raison principale de ce succès est à chercher du côté de leur furtivité accrue.
« Les archives sont attrayantes pour les acteurs malveillants parce qu’elles sont facilement chiffrées, ce qui les rend difficiles à détecter par les proxys web, les sandboxes et les scanners de messagerie », explique le rapport. Et d’ajouter que « de nombreuses organisations utilisent des archives chiffrées pour des raisons légitimes, ce qui rend difficile le rejet des pièces jointes d’archives chiffrées par politique ».
« De nombreuses organisations utilisent des archives chiffrées pour des raisons légitimes, ce qui rend difficile le rejet des pièces jointes d’archives chiffrées par politique. »
Alex HollandAnalyste maliciels, HP
Mais il y a plus. Pour Alex Holland, analyste principal de maliciels chez HP, l’abandon des fichiers Office devrait se poursuivre, Microsoft faisant sa part pour verrouiller le format : « la tendance à s’éloigner des fichiers Office est en cours depuis février de cette année, depuis que Microsoft a renforcé la politique de macros par défaut dans Office, rendant plus difficile pour les attaquants l’exécution de logiciels malveillants à partir de documents ».
« Depuis lors, nous avons vu davantage d’acteurs malveillants – comme ceux qui distribuent QakBot et IcedID – se tourner vers des formats alternatifs, comme les raccourcis Windows (LNK), les ISO, les fichiers HTML et les archives chiffrées ».
En plus de l’augmentation des fichiers d’archives, HP Wolf Security a enregistré une augmentation de ce qu’il appelle la « contrebande HTML » : une méthode visant à contourner les règles de sécurité en utilisant des types de fichiers courants.
Dans ce scénario, l’utilisateur reçoit ce qui semble être un fichier PDF, mais qui est en fait rempli de code HTML. En ouvrant le fichier, l’utilisateur est redirigé vers une fausse page de téléchargement d’un lecteur courant tel qu’Adobe Acrobat. La page tente ensuite d’offrir un fichier d’archive qui contient la charge utile réelle du malware.
QakBot (Qbot), notamment, joue sur cette approche pour introduire ses logiciels malveillants sur les machines des utilisateurs finaux. Le groupe, qui avait fait une pause pendant l’été, a commencé à reprendre ses activités. Il est notamment connu pour son rôle dans des attaques avec rançongiciel.
Selon le rapport, « la plupart de ces nouvelles campagnes s’appuient sur la contrebande HTML pour infecter les systèmes, ce qui marque un abandon des documents Office malveillants comme mécanisme de distribution privilégié pour cette famille de logiciels malveillants ».
