Phishing : quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ? Par Ismet Geri, Directeur de Proofpoint France et Europe du Sud

Comme vous le savez, la malveillance informatique utilise toujours des tactiques de pointe pour optimiser les résultats de chaque campagne lancée. Au cours des derniers mois, nous avons suivi un lanceur de menace particulier dont l’arme favorite était les documents PDF exploitant la faille CVE-2013-2729. La campagne a débuté par de grandes vagues d’e-mails contenant des PDF au contenu nuisible. Néanmoins, au fil des mois, nous avons observé une diversification des tactiques employées. Au lieu d’utiliser un seul vecteur d’attaque pour distribuer ses logiciels malveillants, le pirate a multiplié les approches. 

Par exemple, nous avons observé l’envoi d’e-mails contenant les combinaisons d’attaques suivantes :

  • URL vers un PDF au contenu nuisible + URL vers un logiciel malveillant à l’intérieur d’un fichier ZIP
  • PDF en pièce jointe + URL vers un logiciel malveillant à l’intérieur d’un fichier ZIP
  • PDF en pièce jointe + URL vers un document Word au contenu nuisible (CVE-2012-0158)
  • Fichier ZIP en pièce jointe contenant le logiciel malveillant

Lors d’une campagne de ce type, nous avons observé que les documents au contenu nuisible et les fichiers ZIP contenaient trois types de logiciels malveillants, chacun ayant plusieurs variantes. Et, comme d’habitude, la plupart des exécutables n’étaient quasiment jamais détectés par les moteurs d’antivirus !

Ces campagnes soulignent combien les pirates tentent systématiquement de nouvelles approches pour infecter les utilisateurs. Et même si les campagnes de grande ampleur à base de kits d’exploits subies l’année dernière sont moins nombreuses aujourd’hui, celles reposant sur les pièces jointes semblent être en augmentation. À l’origine, les documents à contenu nuisible n’étaient utilisés que par des lanceurs d’APT de très haut niveau. Désormais, il semble qu’un certain nombre de cybercriminels sont entrés dans la danse. C’est un bon exemple de la manière dont les pirates repoussent sans cesse les limites pour installer des logiciels malveillants. Et cela montre à quel point le paysage des menaces informatiques est en perpétuelle évolution.

Ismet GeriIsmet Geri, Directeur de Proofpoint France et Europe du Sud

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?