> Sécurité > La France prise dans les filets des campagnes d’hameçonnage

La France prise dans les filets des campagnes d’hameçonnage

Sécurité - Par Charles Rami - Publié le 21 juillet 2015
email

Depuis fin 2014, des organisations et des chercheurs en sécurité informatique ont constaté une vague massive d'attaques via des e-mails non sollicités.

La France prise dans les filets des campagnes d’hameçonnage

Ces emails, porteurs en apparence d’une ancienne menace (des documents Microsoft Office joints), contenaient des macros dangereuses, en mesure d’entraîner le téléchargement de logiciels malveillants sur un système. Après que l’utilisateur ait cliqué sur le bouton « Activer le contenu », ces macros, par un processus initialement simple, répandaient des variantes du cheval de Troie bancaire Dridex. Par la suite, les auteurs de ces campagnes ont affiné leurs techniques afin d’échapper aux analyses de sécurité et à la mise en sandbox automatique des logiciels malveillants. Ces perfectionnements continus offrent des techniques d’injection efficaces, simples et adaptables aux cybercriminels, l’une des raisons de leur succès auprès de ceux-ci.

Également appelés virus VBA, les macros Microsoft Office malveillantes sont des fragments de code incorporés dans un document Office (Word, Excel, etc.) capables de lancer une multitude d’opérations à l’ouverture dudit fichier. Elles entraînent notamment l’exécution automatique du programme de téléchargement d’un logiciel malveillant. Une analyse récente a montré que les virus VBA occupaient le devant de la scène à la fin des années 1990. Ils ont toutefois rapidement disparu, avec l’introduction de paramètres par défaut dans Office 2007 qui permettaient la désactivation des macros. Microsoft Office permet toujours cette désactivation par défaut, et affiche en outre un message d’avertissement indiquant que l’activation des macros « rend votre ordinateur vulnérable au code potentiellement dangereux et elle n’est donc pas recommandée ».

En dépit de ces mesures de protection, on observe une importante recrudescence des attaques par macros depuis l’été 2014, perpétrées par le biais de campagnes d’hameçonnage, qui usent de techniques d’ingénierie sociale afin d’inciter la victime à activer les macros pour, soi-disant, dévoiler le contenu masqué du document.

(((IMG7805)))

Mode opératoire : l’exécution du programme malveillant repose sur l‘activation des macros par l’utilisateur.

Cette campagne induit une forme d’ingénierie sociale qui pousse la victime à cliquer sur le bouton Activer le contenu. L’activation des macros d’un document Word joint entraîne l’exécution d’une macro, dont le code est fortement obscurci, afin de ne pas être détecté par les moteurs antivirus.

L’un des facteurs de réussite des campagnes actuelles réside dans leur capacité à contourner les systèmes de défense basés sur la réputation et les signatures (logiciels antivirus et antispams). Ces derniers sont toutefois rapidement mis et à jour et s’adaptent promptement aux nouvelles formes d’infection. Pour pallier à cela, les macros malveillantes sont modifiées sans cesse, notamment par les biais suivants :

•    L’obscurcissement : une technique déjà employée par le passé, qui consiste à modifier continuellement le code malveillant afin de déjouer les signatures statiques, soit 1) en remplaçant une chaîne ou un caractère, 2) en ajoutant du code non utilisé ou code « mort », ou 3) en remplaçant des noms de variables ou de fonctions par des chaînes difficiles à lire.
•    Le stockage de fragments de code sur des sites Web, qui seront ensuite téléchargés et exécutés : cette approche, bien que plus complexe, permet de réduire la quantité de code en mesure d’être comparée à une signature par un analyseur statique. Récemment la présence de code malveillant a été détectée dans Pastebin (Dridex 120, 19 mai) et sur des sites Web compromis aléatoires (Dridex 200, 30 avril).
•    Le recours à des types de fichiers plus variés : ces campagnes utilisaient à l’origine des documents Microsoft Word, depuis, l’usage d’autres types de documents Microsoft Office, de langages de balisage, voire de fichiers CHM d’aide de Windows ont fait leur apparition.

Qui plus est, le recours de plus en plus répandu au sandboxing automatique des logiciels malveillants pousse les attaquants à développer d’autres techniques d’attaque, afin de contourner cette nouvelle ligne de défense. Les développeurs de macros malveillantes intègrent ainsi des éléments permettant aux logiciels douteux d’éviter les sandbox mises en place par un nombre croissant d’organisations et entreprises. En mars 2015, par exemple, des analystes ont détecté une macro capable de repérer les outils et environnements communément employés par de telles sandbox. Il semblerait que ce soit la première fois qu’une macro de ce type ait été identifiée. Les concepteurs de logiciels malveillants usent sans cesse de nouveaux stratagèmes, dans le but d’échapper à toute détection au sein des sandbox comportementales. Il peut s’agir de l’utilisation de formats d’encodage différents (technique de formatage utilisant le type MIME, par exemple), ou encore de macros exécutées à la fermeture du document malveillant.

La capacité de contournement des méthodes de détection de base et avancées n’est pas la seule force des macros malveillantes. Le succès de ces campagnes repose également sur leur aptitude à tromper leur victime et à s’adapter aux nouvelles contraintes. La meilleure façon de comprendre comment elles y parviennent est d’étudier le travail des plus grands développeurs de celles-ci.

La tendance ne faiblit pas à l’approche de l’été 2015 : entre avril et mai 2015, des équipes de chercheurs ont recensé 56 campagnes de distribution Dridex. Certaines d’entre elles impliquaient l’envoi, en une seule journée, de plusieurs millions d’e-mails contenant des documents infectés par ce cheval de Troie. Jusqu’à quatre campagnes Dridex différentes pouvaient être détectées simultanément. Chacune induisait des stratégies et mécanismes divers pour se répandre et inciter l’utilisateur à ouvrir les pièces jointes. Les auteurs des chevaux de Troie bancaires (dont Dridex et Dyre sont les types les plus courants) semblent faire preuve de la plus grande ingéniosité, en inventant chaque jour des mécanismes de contournement entièrement nouveaux et en forçant ainsi les systèmes de protection à évoluer avec une extrême rapidité sous peine d’être contournés.

Téléchargez cette ressource

Livre blanc Sécurité et Stockage des documents

Livre blanc Sécurité et Stockage des documents

Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.

Sécurité - Par Charles Rami - Publié le 21 juillet 2015