Le cat-phishing, utilisant un outil de transfert de fichiers Microsoft populaire pour devenir un parasite du réseau, et la fausse facturation font partie des techniques notables déployées par les cybercriminels au cours des trois premiers mois de cette année, selon le rapport trimestriel HP Wolf Security Threat Insights publié jeudi.

Basé sur une analyse des données provenant de millions de points finaux exécutant le logiciel de l'entreprise, le rapport a révélé que des désespérés du numérique exploitaient un type de vulnérabilité de site Web pour attirer les utilisateurs de phishing et les diriger vers des emplacements en ligne malveillants. Les utilisateurs sont d’abord dirigés vers un site Web légitime, puis redirigés vers le site malveillant, une tactique qui rend difficile la détection du changement par la cible.

« Les vulnérabilités de redirection ouverte peuvent être assez courantes et faciles à exploiter », a noté Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, un fournisseur de formation de sensibilisation à la sécurité à Clearwater, en Floride.

« Leur pouvoir revient à l'outil préféré des cybercriminels, la tromperie », a-t-il déclaré à Technews.fr. « La redirection ouverte permet aux acteurs malveillants d'utiliser une URL légitime pour rediriger vers une URL malveillante en créant le lien dans le message pour inclure une partie à la fin de l'URL, qui est rarement vérifiée par les gens, qui amène l'utilisateur vers l'URL malveillante. site, même s’ils en savent assez pour survoler le lien.

« Bien que l'URL du navigateur indique le site vers lequel la personne est redirigée, la victime est moins susceptible de la vérifier après avoir cru avoir déjà cliqué sur un lien légitime », a-t-il expliqué.

« Il est courant d'apprendre aux gens à survoler les liens pour s'assurer qu'ils semblent légitimes », a-t-il ajouté, « mais ils devraient également apprendre à toujours vérifier l'URL dans la barre du navigateur avant de saisir des informations sensibles telles que des mots de passe, des informations personnelles ou des informations personnelles. numéros de carte de crédit.

Le courrier électronique continue d'être le principal mécanisme de livraison des redirections basées sur les pièces jointes, a noté Patrick Harr, PDG de SlashNext, une société de sécurité réseau basée à Pleasanton, en Californie. « Mais », a-t-il déclaré à Technews.fr, « nous constatons également la livraison de ces pièces jointes en dehors des États-Unis. envoyez des e-mails dans Slack, Teams, Discord et d’autres applications de messagerie avec des noms de fichiers obscurcis qui semblent réels.

Exploiter les BITS

Une autre attaque notable identifiée dans le rapport consiste à utiliser le service de transfert intelligent en arrière-plan (BITS) de Windows pour effectuer des incursions « vivre de la terre » sur les systèmes d'une organisation. Étant donné que BITS est un outil utilisé par le personnel informatique pour télécharger et télécharger des fichiers, les attaquants peuvent l'utiliser pour éviter d'être détecté.

Ashley Leonard, PDG de Syxsense, une société mondiale de solutions informatiques et de sécurité, a expliqué que BITS est un composant de Windows conçu pour transférer des fichiers en arrière-plan en utilisant la bande passante réseau inactive. Il est couramment utilisé pour télécharger des mises à jour en arrière-plan, garantissant qu'un système reste à jour sans interrompre le travail ou pour la synchronisation dans le cloud, permettant aux applications de stockage dans le cloud comme OneDrive de synchroniser des fichiers entre une machine locale et le service de stockage dans le cloud.

« Malheureusement, BITS peut également être utilisé de manière néfaste, comme indiqué dans le rapport Wolf HP », a déclaré Leonard à Technews.fr. « Les acteurs malveillants peuvent utiliser BITS pour un certain nombre d'activités : pour exfiltrer des données, pour des communications de commande et de contrôle ou pour des activités de persistance, telles que l'exécution de code malveillant pour s'implanter plus profondément dans l'entreprise. »

« Microsoft ne recommande pas de désactiver BITS en raison de ses utilisations légitimes », a-t-il déclaré. « Mais il existe des moyens pour les entreprises de se protéger contre les acteurs malveillants qui l'exploitent. » Ceux-ci incluent :

  • Utilisez des outils de surveillance du réseau pour détecter les modèles de trafic BITS inhabituels, tels que de grandes quantités de données transférées vers des serveurs externes ou des domaines suspects.
  • Configurez BITS pour autoriser uniquement les applications et services autorisés à l'utiliser et bloquez toute tentative de processus non autorisés d'accéder à BITS.
  • Séparez les systèmes et les données critiques des zones moins sensibles du réseau pour limiter les mouvements latéraux des attaquants en cas de compromission.
  • Gardez tous les systèmes à jour avec les derniers correctifs et mises à jour de sécurité pour corriger toutes les vulnérabilités connues qui pourraient être exploitées par des attaquants.
  • Utilisez les flux de renseignements sur les menaces pour rester informé des dernières tactiques, techniques et procédures utilisées par les cyberattaquants, et ajustez de manière proactive les contrôles de sécurité en conséquence.

RAT dans la facture

Le rapport HP Wolf a également révélé que des pirates du réseau cachaient des logiciels malveillants dans des fichiers HTML se faisant passer pour des factures de fournisseurs. Une fois ouverts dans un navigateur Web, les fichiers déclenchent une chaîne d'événements qui déploient le malware open source AsyncRAT.

« L'avantage de cacher les logiciels malveillants dans les fichiers HTML est que les attaquants s'appuient dans la plupart des cas sur l'interaction avec leur cible », a déclaré Nick Hyatt, directeur du renseignement sur les menaces chez Blackpoint Cyber, un fournisseur de technologies de recherche, de détection et de réponse aux menaces, à Ellicott City. , MD.

« En cachant un malware dans une fausse facture, un attaquant est susceptible d'amener un utilisateur à cliquer dessus pour voir à quoi sert la facture », a-t-il déclaré à Technews.fr. « Cela permet à l'utilisateur d'interagir et augmente les chances de parvenir à un compromis réussi. »

Bien que cibler les entreprises avec des leurres de facturation soit l’une des astuces les plus anciennes du monde, elle peut néanmoins s’avérer très efficace et lucrative.

« Les employés travaillant dans les services financiers sont habitués à recevoir des factures par courrier électronique, ils sont donc plus susceptibles de les ouvrir », a déclaré Patrick Schläpfer, chercheur principal en matière de menaces chez HP Wolf, dans un communiqué. « En cas de succès, les attaquants peuvent rapidement monétiser leur accès en le vendant à des courtiers cybercriminels ou en déployant un ransomware. »

« Le paysage croissant des menaces posées par les attaques hautement évasives basées sur les navigateurs est une autre raison pour laquelle les organisations doivent donner la priorité à la sécurité des navigateurs et déployer des mesures de cybersécurité proactives », a ajouté Patrick Tiquet, vice-président de la sécurité et de l'architecture chez Keeper Security, une société de gestion de mots de passe et de stockage en ligne. , à Chicago.

L’augmentation rapide des attaques de phishing basées sur les navigateurs, en particulier celles employant des tactiques évasives, met en évidence le besoin urgent d’une protection renforcée », a-t-il déclaré à Technews.fr.

Scanners de passerelle moins qu'imperméables

Un autre rapport révèle que 12 % des menaces de messagerie identifiées par le logiciel HP Wolf avaient contourné un ou plusieurs scanners de passerelle de messagerie.

« Les scanners de passerelle de messagerie peuvent être un outil utile pour éliminer les types courants de menaces de messagerie. Cependant, ils sont beaucoup moins efficaces contre des attaques plus ciblées, telles que le spearphishing ou le whaling », a observé Kron de KnowBe4.

« Les scanners de courrier électronique, même ceux qui utilisent l'IA, recherchent généralement des modèles ou des mots-clés ou recherchent des menaces dans les pièces jointes ou les URL », a-t-il poursuivi. Si les mauvais acteurs utilisent des tactiques atypiques, les filtres risquent de ne pas les remarquer.

« La frontière est mince entre filtrer les menaces et bloquer les messages électroniques légitimes », a-t-il déclaré, « et dans la plupart des cas, les filtres seront configurés pour être plus conservateurs et moins susceptibles de causer des problèmes en interrompant une communication importante. »

Il a reconnu que les scanners de passerelle de messagerie, même avec leurs défauts, constituent des contrôles de sécurité essentiels, mais il a affirmé qu'il est également essentiel que les employés apprennent à repérer et à signaler rapidement les attaques qui réussissent.

« Les acteurs malveillants font preuve de créativité en concevant des campagnes par courrier électronique qui contournent les mécanismes de détection traditionnels », a ajouté Krishna Vishnubhotla, vice-président de la stratégie produit chez Zimperium, une société de sécurité mobile basée à Dallas.

« Les organisations doivent protéger leurs employés contre les liens de phishing, les codes QR malveillants et les pièces jointes malveillantes contenues dans ces e-mails sur tous les points de terminaison existants et mobiles », a-t-il déclaré.