L’article du mois dernier examinant les principales attaques de logiciels malveillants par e-mail a reçu tellement d’attention et de commentaires provocateurs que j’ai pensé qu’il valait la peine d’y revenir. Je l’ai assemblé parce que les victimes de cyberbraquages découvrent ou révèlent rarement comment elles ont été infectées par le cheval de Troie qui a aidé les voleurs à siphonner leur argent, et je voulais tester la sagesse conventionnelle sur la source de ces attaques.
Principales attaques de logiciels malveillants et leurs taux de détection antivirus, au cours des 30 derniers jours. Source : UAB
Bien que les données du mois dernier montrent à nouveau pourquoi cette sagesse reste conventionnelle, je pense que le sujet mérite d’être réexaminé périodiquement car il rappelle que ces attaques peuvent être plus furtives qu’elles ne le paraissent à première vue.
Les données sur les menaces proviennent de rapports quotidiens compilés par les étudiants en criminalistique informatique et en gestion de la sécurité à Université de l’Alabama à Birmingham. Les rapports UAB suivent les principales menaces par e-mail de chaque jour et incluent des informations sur la marque ou le leurre usurpé, la méthode de diffusion du logiciel malveillant et des liens vers Virustotal.comqui indiquent le nombre de produits antivirus qui ont détecté le logiciel malveillant comme étant hostile (virustotal.com analyse tout fichier ou lien soumis à l’aide d’environ 40 outils antivirus et de sécurité différents, puis fournit un rapport indiquant l’opinion de chaque outil).
Comme l’indique le tableau que j’ai compilé ci-dessus, les attaquants changent assez souvent de leurre ou de marque usurpée, mais les choix populaires incluent des noms familiers tels que American Airlines, Ameritrade, Craigslist, Facebook, FedEx, Hewlett-Packard (HP), Kraft, UPS et Xerox. Dans la plupart des e-mails, les expéditeurs ont usurpé le nom de la marque dans le champ « de : » et ont utilisé des images intégrées volées aux marques usurpées.
Le seul détail sur lequel la plupart des lecteurs se concentreront probablement le plus dans ce rapport est le taux de détection atrocement bas de ces échantillons de logiciels malveillants spammés. En moyenne, les logiciels antivirus ont détecté ces menaces environ 22 pour cent du temps le premier jour, ils ont été envoyés et scannés sur virustotal.com. Si l’on prend le score médian, le taux de détection tombe à seulement 17 %. C’est en fait une baisse par rapport aux taux de détection moyens et médians du mois dernier, 24,47% et 19%, respectivement.
Contrairement à la plupart des missives empoisonnées que nous avons examinées le mois dernier – qui dépendaient du fait que les destinataires cliquent sur un lien les menant à un site équipé d’un kit d’exploitation conçu pour télécharger et exécuter de manière invisible des logiciels malveillants – la majorité des attaques des 30 derniers jours n’ont fonctionné que lorsque le destinataire a ouvert un fichier exécutable compressé.
Une fausse image usurpe UPS lors d’une attaque le 25 juin 2012
Je sais que de nombreux lecteurs rouleront probablement des yeux et marmonneront que n’importe qui avec un demi-cerveau saurait que vous n’ouvrez pas les fichiers exécutables (.exe) envoyés par e-mail. Mais de nombreuses versions de Windows masquent les extensions de fichiers par défaut, et les attaquants dans ces cas changent fréquemment l’icône associée au fichier exécutable compressé afin qu’il apparaisse comme un Microsoft Word ou PDF document. Et, bien que je n’aie pas vu cette attaque dans les exemples répertoriés ci-dessus, les attaquants pourraient utiliser la fonctionnalité intégrée de remplacement de droite à gauche de Windows pour faire ressembler un fichier .exe à un .doc.
Évidemment, un avertissement indiquant que l’utilisateur est sur le point d’exécuter un fichier exécutable devrait apparaître s’il clique sur un fichier .exe déguisé en document Word, mais nous savons tous à quel point ces avertissements sont efficaces (surtout si la personne a déjà croit le fichier est un document Word).
Il y a eu au moins une attaque intéressante détaillée ci-dessus dans laquelle l’e-mail malveillant a été piégé avec un message HTML qui redirigeait automatiquement le client de messagerie du destinataire vers un site d’exploitation malveillant si cette personne avait la malchance d’avoir simplement ouvert la missive dans un client. qui avait la lecture HTML activée. De nombreux fournisseurs de messagerie Web bloquent désormais le rendu de la plupart des contenus HTML par défaut, mais il est souvent activé ou les utilisateurs l’activent parfois manuellement sur un logiciel client de messagerie tel que Microsoft Outlook ou Mozilla Thunderbird.
Une copie de la feuille de calcul illustrée ci-dessus est disponible aux formats Microsoft Excel et PDF.