Les fichiers Zip et Rar désormais plus infectés que les fichiers Office selon HP Wolf Security. Un changement de technique, difficile à repérer.

44 % des logiciels malveillants sont diffusés au sein de fichiers d’archives -soit une augmentation de 11 % par rapport au trimestre précédent, contre 32 % dans des fichiers Office tels que Microsoft Word, Excel et PowerPoint… Dans son HP Wolf Security Threat Insights Report Q3 2022, HP révèle que les formats de fichiers d’archives tels que les fichiers Zip et Rar représentent aujourd’hui le type de fichier le plus courant pour diffuser des logiciels malveillants.

Le rapport a identifié plusieurs campagnes qui combinent l’utilisation de fichiers d’archives avec les nouvelles techniques de corruption HTML afin de lancer des cyberattaques : les cybercriminels intègrent des fichiers d’archives malveillants dans des fichiers HTML pour contourner les passerelles de messagerie.

Ingénierie sociale

Par exemple, les récentes campagnes QakBot et IceID s’appuyaient sur des fichiers HTML pour inciter les utilisateurs à cliquer vers de faux lecteurs de documents en ligne -en usurpant l’identité d’Adobe. Les utilisateurs étaient ensuite invités à ouvrir un fichier ZIP et à saisir un mot de passe pour décompresser les fichiers qui lançaient le déploiement d’un logiciel malveillant sur le PC.

Comme le logiciel malveillant est codé et chiffré au sein du fichier HTML d’origine, sa détection par les passerelles de messagerie ou d’autres outils de sécurité s’avère très complexe. Les cyberattaquants s’appuient donc sur l’ingénierie sociale, via la création de pages Web très convaincantes. Ils peuvent aussi opérer via le développement de fausses pages Google Drive. Objectif : inciter les internautes à ouvrir un fichier ZIP malveillant.

Des attaques plus difficiles à détecter

« Alors que les archives sont relativement simples à chiffrer, les cybercriminels arrivent à dissimuler des logiciels malveillants et à échapper aux proxies web, aux environnements sandbox et aux scans de vérification d’e-mails. Les attaques sont ainsi plus difficiles à détecter, explique Alex Holland, Senior Malware Analyst, HP Wolf Security. Qui plus est lorsqu’elles sont combinées à des techniques de HTML smuggling. L’effort déployé pour créer de fausses pages s’est avéré particulièrement intéressant dans le cadre des campagnes QakBot et IceID : ces campagnes étaient plus sophistiquées que celles que nous avions observées auparavant. Il était donc difficile pour les internautes de savoir à quels fichiers se fier. »

Changer de tactique en fonction de la cible

HP a également identifié une campagne complexe s’appuyant sur une chaîne d’infection spécifique. Elle pourrait potentiellement permettre aux attaquants de charger des codes malveillants en cours de campagne, tels qu’un spyware, un ransomware ou un keylogger. Ou d’introduire de nouvelles fonctionnalités telles que la géolocalisation. Cette méthode permet à un attaquant de changer de tactique en fonction de sa cible. Si le logiciel malveillant n’est pas inclus dans la pièce jointe envoyée à une cible, les passerelles de messageries peuvent difficilement détecter ce type d’attaques.

« Les cybercriminels changent constamment de techniques et sont parfois très difficiles à repérer, commente Ian Pratt, Global Head of Security, Personal Systems, HP. En s’appuyant sur le principe de Zero Trust, les entreprises peuvent utiliser la micro-virtualisation pour s’assurer que les tâches potentiellement malveillantes (comme cliquer sur des liens ou ouvrir des pièces jointes malveillantes) sont exécutées au sein d’une machine virtuelle ‘ jetable’, complètement séparée des systèmes sous-jacents. Ce processus est totalement invisible pour l’utilisateur et réussit à isoler tout logiciel malveillant. Une approche qui permet de bloquer l’accès à toutes les données sensibles. »