Phishing : Les techniques les plus courantes
La création de macros malveillantes Office reste la technique d’attaque la plus courante déployée par les cybercriminels qui cherchent à compromettre les PC via des e-mails de phishing.
Les e-mails de phishing constituent la première étape pour la majorité des cyberattaques. Les cybercriminels utilisent des astuces psychologiques pour convaincre les victimes potentielles d’ouvrir et d’interagir avec les messages malveillants.
Il peut s’agir d’e-mails prétendant provenir de marques connues, de fausses factures ou même de messages prétendant provenir de votre patron.
Il existe un certain nombre de méthodes que les cybercriminels peuvent exploiter afin d’obtenir l’accès dont ils ont besoin et, selon les chercheurs de la société de cybersécurité Proofpoint, les macros Office sont le moyen le plus courant d’y parvenir.
Les macros sont une fonction de Microsoft Office qui permet aux utilisateurs d’activer des commandes automatisées pour faciliter l’exécution de tâches. Cependant, cette fonction est également utilisée de manière abusive par les cybercriminels. Comme les macros sont souvent activées par défaut pour exécuter des commandes celles-ci peuvent être utilisées pour exécuter un code malveillant, les cybercriminels disposent ainsi d’un moyen de prendre le contrôle d’un PC.
Nombre de ces campagnes utilisent l’ingénierie sociale pour encourager la victime à activer les macros en prétendant que cette fonctionnalité est nécessaire pour visualiser une pièce jointe de Microsoft Word ou de Microsoft Excel. Il s’agit d’une méthode d’attaque efficace pour les cybercriminels, les macros Office représentant près d’une attaque sur dix.
Mais les macros Office sont loin d’être la seule technique d’attaque que les cybercriminels utilisent.
Le contournement des “sandbox” est la deuxième technique d’attaque la plus utilisée par les criminels distribuant des e-mails de phishing.
Les développeurs de malware intègrent un système de détection qui empêche le malware de s’exécuter s’ils soupçonnent que celui ci s’exécute sur une machine virtuelle mise en place par des chercheurs en sécurité. L’objectif est d’empêcher les analystes d’examiner l’attaque, et donc de protéger d’autres systèmes contre elle.
PowerShell est aussi encore régulièrement utilisé par les attaquants comme moyen d’accéder aux réseaux après avoir pris pied à la suite d’un courriel de phishing. Contrairement aux attaques impliquant des macros, celles-ci consistent souvent à inciter la victime à cliquer sur un lien contenant un code permettant d’exécuter PowerShell. Les attaques sont souvent difficiles à détecter car elles utilisent une fonction légitime de Windows, ce qui explique pourquoi PowerShell reste populaire auprès des attaquants.
Parmi les autres techniques d’attaque couramment utilisées pour améliorer le succès des courriels de phishing, citons la redirection des utilisateurs vers des sites Web contenant du code HTML malveillant qui installera des logiciels malveillants sur le PC de la victime lors de la visite.Les attaquants sont également connus pour détourner le fil des conversations e-mails, en exploitant la confiance que les victimes accordent à un contact connu et en abusant de cette confiance à des fins malveillantes.
Les données sur les techniques d’attaque les plus courantes ont été tirées de campagnes ciblant les clients de Proofpoint et de l’analyse de milliards d’e-mails.
“Formez les utilisateurs à repérer et à signaler les e-mails malveillants. Un entraînement régulier et des simulations d’attaques peuvent stopper de nombreuses attaques et aider à identifier les personnes particulièrement vulnérables. Les meilleures simulations imitent les techniques d’attaque du monde réel”, ont déclaré les chercheurs de Proofpoint dans un billet de blog.
Source : “ZDNet.com”
