Élimination des malwares au niveau de leur mécanisme de diffusion

Élimination des malwares au niveau de leur mécanisme de diffusion

Un anti-malware efficace arrête les attaques malveillantes avant qu’elles n’infectent un appareil.

Ce n’est pas aussi facile qu’il n’y paraît, car les attaquants changent leurs méthodes de livraison pour éviter la détection. Il y a vingt ans, il suffisait d’avoir un antivirus sur un appareil pour arrêter la majorité des attaques, mais aujourd’hui, les attaquants utilisent des livraisons sans fichier, des malwares en mémoire, du phishing, des logiciels en rançon et de nombreuses autres méthodes pour voler des données et prendre le contrôle des ressources.

Il est plus important que jamais pour les entreprises de se concentrer sur l’arrêt des attaques au niveau du mécanisme de diffusion, ce qui peut être fait avec les bonnes défenses de cybersécurité.

Les attaques de phishing sont de plus en plus populaires

Une organisation peut disposer d’un système de détection et de prévention des intrusions parfaitement configuré, et les attaquants savent que la plupart des infrastructures de cybersécurité sont bien sécurisées. Au lieu de trouver chercher une once de faille de sécurité sur le réseau, les attaquants optent pour une solution beaucoup plus facile : exploiter l’erreur humaine.

Selon Microsoft, les attaques de phishing ont augmenté de 250 % en 2018.

Le phishing est souvent à l’origine d’attaques de ransomware, et les campagnes de malwares ont également gagné en popularité. Selon une récente enquête réalisée en 2019, les frais de rançon liés aux attaques de ransomwares ont également augmenté de 89 %.

La plupart des ransomwares utilisent AES-256, un algorithme de chiffrement symétrique. En réalité, cet algorithme utilise la même clé pour chiffrer et déchiffrer les données. Ceci oblige les organisations à payer la rançon pour récupérer les données, notamment si elles ne disposent pas de sauvegarde ou si son plan de sauvegarde et de reprise après sinistre est mal configuré.

Ajoutez à cela les attaques le phishing et les attaquants ont une mine d’or avec un potentiel illimité, car de plus en plus d’entreprises n’ont pas les bonnes ressources et la formation des utilisateurs pour arrêter les pirates.

L’ingénierie sociale est également un sujet de préoccupation, car les utilisateurs ayant une mauvaise formation en cybersécurité divulgueront librement leurs informations d’identification, ce qui permettra à un pirate d’accéder au réseau local de son entreprise.

Même avec des systèmes de détection et de surveillance des intrusions, l’erreur humaine représente toujours un risque pour les entreprises. Les systèmes de surveillance sont essentiels, mais ils avertissent les administrateurs système lorsqu’une attaque est déjà réussie. Le niveau d’atténuation et de confinement nécessaire pour contrôler l’attaque dépend des vecteurs que l’attaquant choisit d’utiliser.

Par exemple, la détection d’une attaque de ransomware qui a déjà chiffré des fichiers ne sert qu’à faire savoir aux administrateurs qu’ils ont des malwares sur leurs réseaux et qu’ils doivent invoquer des méthodes de reprise après sinistre. Dans de nombreux cas, les organisations sont forcées de payer la rançon pour revenir aux niveaux de productivité antérieurs sans perdre aucune donnée.

Le filtre de messagerie DMARC arrête le phishing avant la livraison des malwares ou de ransomwares

La seule façon d’arrêter les attaques de phishing via les e-mails est d’empêcher les messages d’atteindre la boîte de réception de l’utilisateur ciblé. Les messages peuvent être mis en quarantaine et protégés contre l’accès au réseau pendant qu’un administrateur examine le contenu de l’e-mail, y compris les pièces jointes potentiellement malveillantes.

Si l’administrateur détermine que le message mis en quarantaine est un faux positif, il pourra être envoyé dans la boîte de réception de son destinataire et les paramètres du filtre de messagerie pourront être modifiés pour éviter de futurs faux positifs.

Le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) est un protocole de cybersécurité pour les messages électroniques. Il combine la signature des messages et les paramètres DNS pour arrêter les messages usurpés afin que les attaquants ne puissent pas tromper les utilisateurs et les amener à divulguer des informations via le phishing. Les paramètres DNS indiquent aux serveurs de messagerie quelles adresses IP peuvent envoyer des messages au nom de l’organisation, et la signature des requêtes garantit que personne ne peut modifier le contenu.

Les bons filtres e-mails peuvent être ajustés si les administrateurs constatent que des messages électroniques ne sont pas transmis ou qu’un contenu malveillant passe à travers leurs systèmes de défense informatiques. Cela peut prendre du temps d’ajuster et de configurer les filtres de messagerie, mais l’intelligence artificielle facilite le processus et peut réduire les frais généraux des administrateurs à mesure que le système « apprend » à identifier les nouvelles campagnes de phishing qui n’ont pas été connus auparavant.

Élimination des malwares au niveau de leur mécanisme de diffusion

En utilisant la DMARC et les filtres de messagerie électronique, l’organisation peut arrêter les attaques en ligne plutôt que de compter sur les utilisateurs et leur formation pour identifier une campagne en cours. Cette défense de cybersécurité enlève toute responsabilité aux utilisateurs et crée un système intelligent qui empêche la livraison des e-mails malveillants. En utilisant ce système, l’erreur humaine qui peut nuire à l’intégrité du réseau est éliminée.

L’élimination des malwares au niveau de son mécanisme de diffusion ne nécessite pas un système complexe. Les filtres de messagerie peuvent même fonctionner dans le cloud et se connecter de manière transparente aux systèmes actuels. En utilisant ces filtres, les administrateurs de messagerie peuvent réduire considérablement le nombre d’attaques de phishing et de ransomwares réussies sur le réseau et les utilisateurs peuvent être mieux protégés.

La DMARC semble complexe, mais avec la bonne configuration, vous allez constater qu’il s’agit d’un outil de cybersécurité précieux qui protège votre entreprise contre le phishing et d’autres contenus malveillant envoyés via les e-mails. Le phishing est l’un des moyens les plus courants pour les pirates de voler des données. Il est donc important pour les entreprises de mettre en place l’application et les règles appropriées pour arrêter ces messages avant qu’ils n’atteignent la boîte de réception d’un utilisateur.

Bien que le SPF (Sender Policy Framework), qui est une norme de vérification du nom de domaine de l’expéditeur d’un e-mail, offre un certain degré de protection contre l’usurpation d’adresse électronique, la DMARC est beaucoup plus fiable. La sécurité du courrier électronique de SpamTitan intègre désormais l’authentification DMARC pour offrir une protection encore plus grande contre les attaques par usurpation d’adresse IP. Ces deux nouvelles fonctionnalités ont été ajoutées dans la dernière mise à jour de SpamTitan et sont disponibles aux utilisateurs sans frais supplémentaires.

Les pirates informatiques personnalisent les URL malveillantes pour éviter leur détection

Les pirates informatiques personnalisent les URL malveillantes pour éviter leur détection

Le but d’un malware est de créer un code qui ne peut pas être détecté par les logiciels antivirus courants ou les systèmes de détection d’intrusion réseau.

Mais même les malwares du type zero day peuvent être détectés par un bon logiciel antivirus lorsque les URL malveillants sont encodées dans des documents et des fichiers exécutables.

Microsoft Office est actuellement l’un des vecteurs de malwares le plus utilisé par les attaquants. Certains documents utilisent l’encodage XML pour stocker les données – y compris les URL – pour se connecter à un serveur distant. Les pirates doivent donc masquer ces URL pour que les malwares ne puissent être détectés.

Format de fichier Microsoft Office

Microsoft Office est tr-s populaire auprès des entreprises. L’une des raisons à cela est qu’il peut facilement être intégré à d’autres formats de fichiers dans un document. De plus, les données qui y sont liées peuvent être utilisées depuis un emplacement distant. Cela signifie que les utilisateurs peuvent éditer le fichier source et modifier l’affichage dans le fichier de destination ouvert par l’utilisateur.

La façon la plus pratique et la plus rapide de voir comment Office stocke l’information est de changer l’extension d’un document Word (.docx) en.zip. Il suffit de double-cliquer sur le nouveau fichier .zip et d’ouvrir le fichier XML nommé document .xml dans l’archive. Vous verrez comment Office stocke les données pour Word, y compris les fichiers liés.

L’exemple suivant est un fichier image, mais les documents liés afficheront une adresse IP associée au serveur distant qui stocke le fichier lié. Si un attaquant utilise des adresses IP étiquetées malveillants, la plupart des défenses antimalware empêcheront l’application de se connecter à la source distante et mettront le fichier en quarantaine.

Obfusquer les adresses IP pour tromper les antivirus

Pour éviter la détection par les logiciels antivirus, les attaquants utilisent des méthodes pour masquer les adresses IP. En effet, ils stockent une adresse IP comme valeur alternative pour qu’elle puisse toujours être utilisée pour se connecter à un emplacement distant, et l’IP stockée évite la détection au moins pendant un certain temps.

Les chercheurs en matière de solution antivirus continuent de mettre à jour les fichiers de signatures pour détecter les nouvelles méthodes d’attaque. Mais les développeurs de malware peuvent créer de nouvelles façons de stocker une adresse IP, de manière à ce qu’elle ne semble pas malveillante pour les lecteurs réseau ou les antivirus.

La première méthode consiste à transformer une adresse IP en valeur décimale.

Les adresses IPv4 contiennent quatre octets (8 bits) qui peuvent être converties en valeurs décimales. Celles-ci sont ensuite stockées dans le contenu XML.

Les valeurs décimales ne sont pas considérées comme malveillante, même pour un logiciel antivirus. Pourtant, le code de l’auteur du malware peut les convertir en binaire lorsqu’il établit une connexion à Internet.

Une deuxième méthode consiste à utiliser des connexions SMB (Simple Message Block). SMB v1 est la principale vulnérabilité utilisée par les pirates pour se connecter à un disque local dans un environnement Windows et chiffrer son contenu. Les auteurs de malwares peuvent analyser les ports SMB ; se connecter au répertoire partagé et manipuler les fichiers.

Avec un fichier Microsoft Office, l’auteur du malware peut copier des exécutables sur un périphérique partagé pour infecter d’autres machines et rediriger la connexion SMB vers un serveur distant contrôlé par un attaquant pour télécharger des exécutables malveillants.

Si l’administrateur réseau a activé SMB sur le réseau, ce trafic réseau ne déclenche donc pas les notifications des systèmes de détection et de prévention des intrusions.

Enfin, une troisième méthode courante consiste à encoder les URLs en leurs équivalents hexadécimaux. Les attaquants peuvent encoder l’URL entière – y compris le nom de domaine – ou n’encoder qu’une partie. Les navigateurs détectent automatiquement les URL codées en hexadécimal à condition qu’elles suivent la bonne syntaxe. Chaque valeur doit avoir le signe pourcentage (%) dont le préfixe d’une lettre inclut des caractères spéciaux et des espaces.

A titre d’exemple, la valeur hexadécimale suivante indique « example.com/maliciousfile.exe » si vous savez la décoder :

%65%78%61%6D%70%6C%65%2E%63%6F%6D%2F%6D%61%6C%69%63%69%6F%75%73%66%69%6C%65%2E%65%78%65

Un navigateur pourrait déchiffrer cette valeur encodée par l’URL et se connecter à un serveur distant. Pour un lecteur réseau, il ne s’agit pas d’une URL, et il ne peut donc être détecté par certains logiciels antivirus.

En plus de ces techniques d’obscurcissement, les attaquants peuvent coder deux fois les valeurs. Une adresse IP peut être codée en hexadécimal, et derrière la valeur hexadécimale se trouve une valeur IP décimale. Le double encodage évite la détection par un logiciel de détection plus avancé et qui est capable de lire les valeurs codées en une seule étape.

Ce que les organisations peuvent faire pour bloquer les adresses IP malveillantes

La meilleure façon d’arrêter ces attaques est d’utiliser des filtres de contenu DNS. Les navigateurs utilisent le DNS pour se connecter à un serveur distant, et l’encodage ne modifie pas la requête DNS pendant le traitement de l’URL d’un navigateur. Les filtres de contenu peuvent également aider à empêcher le chargement local du contenu sur le navigateur d’un utilisateur, mais les filtres DNS peuvent stopper l’attaque avant que le contenu ne soit téléchargé.

Bien que l’antivirus soit une nécessité pour toutes les organisations, l’utilisation de protocoles anti-malware supplémentaires garantira que les connexions distantes malveillantes seront toujours interrompues. Et les filtres DNS sont la meilleure méthode pour compléter les logiciels antivirus.

Les avantages d’utiliser un service de filtrage DNS sont les suivants :

  • Il améliore la sécurité en bloquant l’accès à des sites Web malveillants ou qui présentent des risques.
  • Le filtrage DNS empêche le téléchargement de malwares à partir de sites web malveillants ou piratés
  • Il permet de garder votre défense à jour grâce à une analyse ciblée des menaces et à des mises à jour des menaces du type zero day pour protéger vos clients des menaces cybercriminelles.
  • Il utilise des contrôles basés sur des stratégies élaborées pour gérer l’accès au réseau grâce à un blocage et un filtrage très granulaires.
  • Il empêche les utilisateurs d’accéder à du matériel qui pourrait nuire à la productivité ou nuire à votre organisation.

Protection contre les malwares

WebTitan Cloud inclut plusieurs catégories de protection contre les malwares, en bloquant l’accès à des sites Web compromis, des sites Web qui distribuent des spams, aux logiciels espions et aux sites web malveillants.

Filtrage d’URL

WebTitan Cloud est également doté d’une solution de filtrage d’URL jusqu’à 53 catégories prédéfinies. Il peut analyser 10 millions d’URL et fonctionnent en conjonction avec un système de recherche et de classification en temps réel basé sur le Cloud. Cela fournit une combinaison inégalée de couverture, de précision et de flexibilité.

Avec WebTitan Cloud, vous serez donc tranquille en sachant que votre accès Internet est sûr et sécurisé.

Appelez-nous dès aujourd’hui pour ajouter une couche supplémentaire efficace à la sécurité web de votre entreprise, et ce, en quelques minutes seulement.

Une campagne massive de malvertising utilise une faille pour diffuser des malwares

Une campagne massive de malvertising utilise une faille pour diffuser des malwares

Le malvertising est le nom donné à l’abus des réseaux publicitaires pour diffuser des publicités sur des sites web légitimes dans le but d’escroquer les visiteurs, en affichant des pop-ups ou en les dirigeant vers des sites web malveillants. Ces sites hébergent des formulaires de phishing ou un code d’exploitation qui permet aux cybercriminels de diffuser en silence des malwares.

De nombreux propriétaires de sites web placent des blocs publicitaires de tiers sur leurs plateformes en ligne dans le but d’augmenter leurs revenus. Bien que les réseaux publicitaires aient mis en place des contrôles pour prévenir les abus, les cybercriminels réussissent souvent à contourner ces mesures de sécurité.

Un groupe cybercriminel a été particulièrement actif au cours de l’année dernière et a mené des attaques à grande échelle. Les chercheurs de Confiant ont suivi l’activité du groupe – connu sous le nom d’eGobbler – et rapportent qu’il a diffusé de fausses publicités sur 500 millions de sessions utilisateurs en Europe et aux États-Unis au cours de la dernière semaine seulement. Les campagnes sont vraiment massives. L’une des dernières campagnes, menée entre le 1er août et le 23 septembre, a permis aux pirates d’enregistrer environ 1,16 milliard d’impressions publicitaires.

Généralement, les criminels derrière ces campagnes ciblent les utilisateurs mobiles, car les protections de sécurité sur leurs appareils sont loin d’être aussi robustes que sur les ordinateurs de bureau. Mais cette fois, la campagne ciblait les utilisateurs d’ordinateurs de bureau sous Windows, Linux et MacOS.

Plusieurs réseaux de partage de contenu ont été utilisés pour diffuser les publicités malveillantes, redirigeant les utilisateurs vers des sites web qui exploitent deux vulnérabilités de navigateur. Les pirates ont ainsi pu diffuser leurs charges utiles malveillantes.

La première vulnérabilité est un bug dans le navigateur Chrome – CVE-2019-5840 – qui a été corrigé par Google en juin. La seconde est une vulnérabilité de type « zero-day » dans WebKit, le moteur de navigation utilisé par les anciennes versions de Chrome et le navigateur Web Safari. Le bogue a déjà été corrigé pour Safari, contrairement à Google qui n’a pas corrigé Chrome. Comme le dernier moteur de navigation utilisé par Chrome est basé sur WebKit, les versions ultérieures ont été également affectées.

Alors que les fonctions de sandboxing protègent les iframes publicitaires, la vulnérabilité zero-day a permis au groupe les contourner et d’afficher du code malveillant pour les visiteurs ou pour les rediriger vers des sites malveillants.

Ce groupe cybercriminel est atypique de la plupart de ceux qui utilisent la publicité malveillante pour diffuser des malwares. Il est hautement qualifié et capable de trouver des bugs dans le code source des navigateurs et de mener des campagnes à grande échelle. eGobbler représente une menace importante pour les utilisateurs d’Internet, bien que des mesures puissent être prises pour réduire la probabilité d’une attaque réussie.

Les utilisateurs peuvent renforcer leurs défenses en utilisant des bloqueurs de pub et en s’assurant qu’ils maintiennent leurs navigateurs à jour. De même, les entreprises doivent s’assurer que les navigateurs sont mis à jour et qu’ils peuvent bloquer les publicités malveillantes à l’aide d’une solution de filtrage Web.

En plus de bloquer les publicités malveillantes, un filtre web peut être configuré pour bloquer le téléchargement de fichiers malveillants et empêcher les employés de visiter des sites de phishing et d’autres sites web malveillants. Un filtre web peut également être utilisé par les entreprises pour appliquer des politiques d’utilisation d’Internet acceptables.

TitanHQ a développé une puissante solution de filtrage Web basée sur le DNS pour les PME et les MSP. Il s’agit de WebTitan, une solution qui offre une protection contre la publicité malveillante et d’autres types d’attaques sur Internet. Ce filtre web est facile à utiliser et peut être rendu opérationnel en quelques minutes, sans avoir besoin d’une compétence technique particulière.

Compte tenu du niveau de protection offert par WebTitan, vous serez probablement surpris du faible coût de cette solution. Si vous voulez en savoir plus ; si vous voulez voir par vous-même comment fonctionne WebTitan; ou bien si vous voulez bénéficier d’un essai gratuit de la solution complète, appelez l’équipe commerciale de TitanHQ.

Racoon Stealer connaît un grand succès auprès des cybercriminels

Racoon Stealer connaît un grand succès auprès des cybercriminels

Racoon Stealer est une forme relativement nouvelle de malware qui a été détecté pour la première fois en avril 2019. Le malware n’est pas sophistiqué, car il n’intègre aucune fonctionnalité jamais vue auparavant. Bref, il n’a rien d’extraordinaire.

Ce malware peut prendre des captures d’écran, collecter des informations sur le système, surveiller les e-mails et voler des informations de navigateurs, comme les mots de passe, les identifiants bancaires en ligne et les numéros de carte de crédit.

Cependant, le malware est efficace et très populaire. Au cours des six derniers mois, Racoon Stealer a été installé sur des centaines de milliers d’appareils Windows et il est maintenant l’une des variantes de malwares les plus connues sur les forums underground.

Ce qui distingue Racoon Stealer, c’est qu’il utilise une campagne de marketing très agressive visant à recruter le plus grand nombre d’affiliés possible. Il est commercialisé en tant que malware-as-a-service (MaaS) sur les forums underground et les affiliés peuvent s’inscrire pour utiliser le malware pour un montant forfaitaire d’environ 180 euros par mois.

Le malware peut être utilisé pour voler toute une série d’informations sensibles comme les mots de passe, les numéros de carte de crédit et les cryptomonnaies. Dans ce modèle de distribution, les affiliés n’ont pas besoin de développer leurs propres malwares, et ils n’ont besoin que de peu de compétences pour commencer à mener des campagnes malveillantes. Les développeurs du malware fournissent également un hébergement à toute épreuve et sont disponibles pour offrir aux affiliés un support 24h/24, 7j/7 et 365j/an. De plus, le pack est livré avec un système back-end (arrière-plan) facile à utiliser.

Bien que le coût soit certainement élevé par rapport à ceux des autres offres de MaaS et de ransomware-as-a-service, les affiliés sont susceptibles de gagner bien plus grâce aux informations qu’ils peuvent voler. Voici pourquoi les acheteurs de ce malware sont de plus en plus nombreux.

Comment le malware Racoon Stealer est-il distribué ?

Les affiliés distribuent Racoon Stealer par le biais d’e-mails de phishing contenant des fichiers Office et PDF incorporant le code qui télécharge la charge utile. Il est intégré à des logiciels sur des sites web tiers, bien qu’un pourcentage important des infections provienne de kits d’exploitation.

Racoon Stealer est ajouté aux kits d’exploitation Fallout et Rig qui sont chargés sur des sites Web compromis et des domaines appartenant à des pirates informatiques. Le trafic est envoyé vers ces sites via des publicités malveillantes sur des réseaux publicitaires tiers (malvertising).

Lorsqu’un utilisateur atterrit sur une page Web hébergeant un kit d’exploitation, son appareil est testé pour détecter les vulnérabilités. Si une vulnérabilité est trouvée, elle est exploitée et le Racoon Stealer est téléchargé à l’insu de l’utilisateur.

Une fois installé, Racoon Stealer se connecte à son serveur C2. Les ressources nécessaires pour commencer à voler des informations sont ainsi obtenues et peuvent être vendues sur le marché du darknet ou utilisées par les affiliés pour mener leurs propres attaques.

Compte tenu de l’énorme potentiel de profit qu’ils peuvent réaliser, il n’est pas surprenant que les développeurs de malwares optent aujourd’hui pour ce genre d’attaque. Le problème risque de s’aggraver avant qu’il ne s’améliore et la menace que représentent ces offres de MaaS demeure importante.

Comment bloquer Racoon Stealer et d’autres menaces par e-mail et sur le web ?

Heureusement, il existe des mesures que les entreprises peuvent prendre pour améliorer leurs défenses contre les campagnes de MaaS.

Les kits d’exploitation intègrent généralement des exploits pour un petit nombre de vulnérabilités connues plutôt que pour des vulnérabilités du type zéro-day pour lesquelles aucun correctif n’a été publié. Pour bloquer ces attaques par kit d’exploitation, les entreprises doivent appliquer des correctifs et mettre à jour leurs logiciels rapidement.

Il n’est pas toujours possible pour les entreprises d’appliquer les correctifs rapidement, car des tests approfondis peuvent être nécessaires avant que les correctifs puissent être appliqués. Certains périphériques peuvent être ignorés – accidentellement ou délibérément – en raison de problèmes de compatibilité. Ces dispositifs resteront donc vulnérables aux attaques.

Le patch est important, mais il n’empêchera pas les téléchargements de malwares à partir d’Internet qui n’impliquent pas de kits d’exploitation. Ce qu’il faut donc, c’est une solution de sécurité Web qui peut bloquer l’accès aux sites malveillants et empêcher le téléchargement de fichiers à risque.

Une solution de filtrage DNS telle que WebTitan fournit une couche de sécurité supplémentaire pour bloquer ces menaces Web. Grâce à une combinaison de listes noires, de contrôle du contenu et d’analyse des sites Web pour rechercher du contenu malveillant, les entreprises peuvent se protéger contre les attaques sur le web. Un filtre DNS empêchera également les employés de visiter les sites de phishing.

Le blocage des attaques qui se produisent par la messagerie électronique nécessite de solutions de sécurité solides. Un filtre anti-spam avancé tel que SpamTitan peut empêcher les e-mails malveillants et les pièces jointes d’atteindre les boîtes de réception des utilisateurs finaux. SpamTitan analyse tous les e-mails entrants pour rechercher les malwares à l’aide de deux moteurs antivirus. Il est également efficace pour bloquer les menaces du type zero-day. Enfin, sachez que SpamTitan inclut un bac à sable alimenté par Bitdefender, où les pièces jointes suspectes sont soumises à une analyse approfondie pour identifier toute intention potentiellement malveillante.

Avec ces deux solutions en place, les entreprises seront bien protégées contre les menaces de malwares et les attaques de phishing.

Tendances des malwares à surveiller en 2020

Tendances des malwares à surveiller en 2020

Alors que le phishing et les ransomwares sont toujours considérés comme les cyber-attaques les plus importantes, une nouvelle tendance en matière de malwares implique des attaques « sans fichier ». Les fichiers utilisés dans ces attaques ne peuvent pas exécuter une charge utile significative par eux-mêmes, mais utilisent plutôt une technique appelée « Living off the Land Binaries » ou LOLBins.

En effet, les fichiers ont besoin de systèmes binaires pour livrer leurs charges utiles. L’attaque utilise plusieurs étapes pour télécharger les exécutables nécessaires pour fonctionner, impliquant généralement des outils natifs de shell et de script pour extraire le contenu malveillant d’Internet vers le périphérique local.

Campagnes Nodersok et Node.js : les malwares à surveiller en 2020

L’attaque sans fichier la plus importante est celle de Nodersok. Ce malware incite les utilisateurs à télécharger un fichier HTA. Les fichiers HTA sont d’anciennes applications HTML Windows utilisées pour envelopper des pages web personnalisées dans une instance Internet Explorer. L’avantage était que l’utilisateur pouvait exécuter VBScript et d’autres fichiers locaux dans un navigateur. Ces applications sont relativement dépassées, mais Nodersok profite de la propension des utilisateurs à télécharger des fichiers avec des extensions qui semblent inoffensives.

Une fois le fichier HTA téléchargé, Nodersok effectue plusieurs étapes d’une manière élaborée pour éviter les systèmes antimalware. Il utilise JavaScript dans l’application HTA pour télécharger des fichiers supplémentaires, puis utilise l’application Windows PowerShell pour éventuellement télécharger Node.exe. Node.exe est la variante Windows du framework Node.js.

Le framework Node.js transforme n’importe quelle machine en proxy, ce qui est le but du Nodersok. Après une infection réussie, ce malware utilise ses capacités proxy pour réaliser des clics frauduleux. Une fois que les utilisateurs cliquent sur les publicités des annonceurs, le créateur de malwares gagne de l’argent grâce à ces clics frauduleux, mais qui semblent constituer un trafic valide sur le réseau publicitaire.

L’utilisation d’outils natifs est ce qui fait de cette dernière attaque de malware sans fichier une nouvelle tendance innovante pour les cybercriminels. Il rend la détection de l’attaque beaucoup plus difficile pour les applications anti-malware en raison de la nature « inoffensive » du fichier original téléchargé par l’utilisateur. De plus, Nodersok utilise PowerShell pour désactiver les applications antivirus afin d’éviter toute détection.

Microsoft rapporte que la plupart des attaques se concentrent sur les consommateurs, et la dernière vague de campagne cible principalement les appareils aux États-Unis et en Europe.

Protection des périphériques d’entreprise

Comme Nodersok désactive les outils anti malwares locaux, il est difficile pour les entreprises de contrôler les infections étendues des périphériques. La première étape de l’attaque consiste à arnaquer les utilisateurs, en les incitant à télécharger le fichier HTA malveillant. La formation des utilisateurs aide à stopper ces attaques et fournit aux utilisateurs la formation adéquate pour identifier les attaques et avertir le personnel informatique, mais il suffit qu’un utilisateur soit dupé pour répandre le malware sur plusieurs périphériques d’entreprise.

Comme le malware utilise des techniques avancées sans fichier, il est difficile de le détecter via des solutions antivirus traditionnelles basées sur les signatures.

Utiliser le filtrage DNS pour se protéger contre Novter

Pour se protéger de ce malware, la solution la plus simple et de mettre en place un système de filtrage de contenu web basé sur DNS. Un tel système empêchera les utilisateurs d’accéder aux sites qui contiennent des fichiers HTA malveillants en fonction d’une politique de contenu établie par les administrateurs. Les filtres de contenu web basés sur le DNS sont supérieurs aux anciens systèmes qui vérifiaient simplement le nom de domaine par rapport à une liste de sites restreints. Au lieu de cela, un utilisateur est incapable d’accéder ou de télécharger du contenu en fonction d’une liste de politiques établies pour bloquer pendant le processus de recherche DNS.

De simples filtres de contenu Web avaient des portes dérobées et des moyens de contourner les filtres, mais les filtres basés sur le DNS ne peuvent être évités en raison de la nature du fonctionnement d’Internet. Chaque fois que l’utilisateur clique sur un lien ou tape un domaine dans un navigateur, une requête DNS est effectuée. Pendant le processus de recherche, un système tel que WebTitan Cloud effectue une recherche supplémentaire sur la politique de contenu Web du réseau. Les politiques peuvent être définies sur des domaines spécifiques et leurs adresses IP associées, mais les administrateurs réseau peuvent également catégoriser les recherches et bloquer les contenus inappropriés. L’utilisateur reçoit un message lui indiquant que son accès au site a été bloqué et les administrateurs reçoivent des notifications l’informant qu’un site de la politique a été interrogé.

Le DNS n’est pas seulement utilisé dans les requêtes du navigateur où l’utilisateur tape un nom de domaine dans la barre d’adresse. Le DNS est également utilisé dans d’autres applications, même en arrière-plan pour les services qui utilisent Internet. Les attaques sans fichier utilisent des applications en mémoire déjà disponibles sur l’appareil local, de sorte qu’un filtre de contenu web basé sur DNS bloquerait toutes les attaques qui utilisent ces outils locaux pour accéder à des sites malveillants. Tout processus qui nécessite un DNS (c’est-à-dire toute requête basée sur Internet) serait bloqué par les filtres de contenu Web.

En choisissant les filtres basés dans le cloud, votre entreprise n’a pas besoin d’investir dans des équipements coûteux pour héberger le système. Les administrateurs lient le DNS local aux filtres où tous les traitements, les notifications et la journalisation s’exécutent dans le cloud.

Voici un autre article qui explique les 6 principales raisons pour lesquelles la sécurité DNS est plus rapide et plus efficace pour tuer les attaques. Il pourrait peut-être vous intéresser.

Les créateurs de malwares continuent de créer de nouvelles façons d’échapper à la détection, et les attaques sans fichier sont la dernière tendance qui pourrait mener à de grandes brèches en 2020. Sachez que des milliers de terminaux aux Etats-Unis et en Europe ont été infectés par ce malware sans fichier au cours des dernières semaines. En se concentrant sur la réduction de la surface d’attaque, cette menace peut être atténuée grâce à de solides contrôles de sécurité. Votre entreprise peut devancer ces attaques en implémentant des filtres DNS comme WebTitan qui détecte les fichiers malveillants, les scripts et qui bloque l’accès aux URL malveillantes.

Une copie gratuite du livre d’Edward Snowden utilisée dans la nouvelle campagne de spam Emotet

Une copie gratuite du livre d’Edward Snowden utilisée dans la nouvelle campagne de spam Emotet

Le botnet Emotet est revenu à la vie après une période de dormance de 4 mois au cours de l’été. Les premières campagnes, qui impliquaient des centaines de milliers de messages, utilisaient des leurres tels que de fausses factures, des avis de paiement et des relevés pour inciter les destinataires à ouvrir un document Word malveillant, à activer le contenu et à lancer par inadvertance une série d’actions résultant au téléchargement d’Emotet. Emotet est l’une des variantes de malwares les plus dangereuses actuellement distribuées via des messages électroniques.

Cela ne fait que quelques jours que ces menaces ont été détectées. Pourtant, une nouvelle campagne a été détectée, notamment le Malware Spam (MalSpam), un terme utilisé pour désigner les malwares qui sont envoyés par e-mail, qui livre Emotet. Cette fois-ci, le leurre s’est présenté sous la forme d’une copie gratuite du livre d’Edward Snowden, Permanent Record. Le livre est un compte rendu de la vie d’Edward Snowden, notamment concernant les actions de dénonciation qu’il a menées en 2013.

La campagne comprend des versions en anglais, en italien, en espagnol et en allemand du livre. Elle prétend offrir une copie scannée et gratuite du livre de l’ancien employé de la CIA. La version anglaise est distribuée par e-mail, selon les agresseurs, parce qu’il est « temps d’organiser des lectures collectives du livre Snowden partout ». L’e-mail comprend une copie scannée du livre en pièce jointe et incite le destinataire de l’acheter, de le lire, de le partager et d’en discuter. La copie s’appelle Scan.doc.

L’email informe l’utilisateur que Word n’a pas été activé. Par contre, celui-ci peut continuer à utiliser Word pour visualiser le contenu du document. À ce stade, il suffit d’un simple clic pour installer Emotet. Une fois installé, le botnet va télécharger d’autres variantes de malwares, dont le TrickBot Trojan. Il est également utilisé pour distribuer des charges utiles de ransomwares.

Bien que les leurres des campagnes Emotet changent régulièrement, ils ont tous utilisé des scripts malveillants dans des documents Word qui téléchargent Emotet. Les e-mails peuvent être envoyés par des personnes inconnues. Des adresses électroniques peuvent également être usurpées pour donner l’impression qu’ils proviennent d’une personne connue ou d’un collègue de travail.

Les leurres sont convaincants et sont susceptibles de tromper les utilisateurs finaux. Ces derniers sont donc susceptibles d’ouvrir les pièces jointes et d’activer le contenu du message électronique. Pour les entreprises, cela peut entraîner une infection malveillante coûteuse, le vol de justificatifs d’identité, des virements bancaires frauduleux et des attaques de ransomwares.

Les entreprises peuvent réduire ces risques en s’assurant que leurs employés n’ouvrent jamais les pièces jointes de e-mails non sollicités et provenant d’expéditeurs inconnus. Ils doivent aussi vérifier l’authenticité de toutes pièces jointe par téléphone avant de prendre toute mesure. Par ailleurs, les employés ne devraient jamais activer le contenu d’un document envoyé par e-mail.

Bien qu’une formation de sensibilisation à la sécurité des utilisateurs finaux soit essentielle, des solutions antimalware avancées sont également nécessaires pour empêcher que ces messages n’atteignent les boîtes de réception des utilisateurs.

SpamTitan inclut l’authentification DMARC pour bloquer les attaques de phishing par usurpation d’identité. Il intègre aussi un sandbox alimenté par Bitdefender où les pièces jointes suspectes peuvent être exécutées en toute sécurité et étudiées pour détecter les menaces cybercriminelles.

Ajoutez à cela un large éventail de systèmes de contrôles de contenu, y compris l’analyse bayésienne et la liste noire, et les e-mails malveillants seront bloqués et empêchés d’être envoyés aux utilisateurs finaux.