Comment traitez-vous les pièces jointes aux courriels ?

Une nouvelle campagne d'e-mailing utilisant des PDF a été découverte

La sécurité du courrier électronique devrait être la priorité absolue, car il s'agit toujours du premier vecteur d'attaque pour les violations de données, selon IBM. Malgré cela, des attaques sophistiquées par courrier électronique continuent de faire des victimes, en exploitant le facteur humain, qui a été impliqué dans 82 % de toutes les violations cette année. Malheureusement, une autre campagne de distribution de logiciels malveillants utilisant des pièces jointes au format PDF a été identifiée le mois dernier, les pirates ayant trouvé un nouveau moyen d'introduire clandestinement des logiciels malveillants sur les appareils des victimes.

Récapitulons la manière dont l'attaque a été menée

La nouvelle campagne de cybercriminalité - découverte par HP Wolf Security - s'appuie sur le comportement incertain des utilisateurs pour distribuer le Snake Keylogger sur les points d'accès vulnérables par le biais de fichiers PDF.

Les auteurs de la menace ont d'abord envoyé un courrier électronique dont l'objet était "Remittance Invoice", afin de faire croire aux victimes qu'elles allaient être payées pour quelque chose. Lorsque le PDF était ouvert, Adobe Reader invitait l'utilisateur à ouvrir un document incorporé - un fichier DOCX - qui pouvait être suspect mais qui était plutôt déroutant pour la victime, car le document incorporé était nommé "a été vérifié". Cela fait croire à la victime que le lecteur PDF a scanné le fichier et qu'il est prêt à être utilisé.

Le fichier Word est susceptible de contenir une macro qui, si elle est activée, téléchargera le fichier texte enrichi (RTF) à partir de l'emplacement distant et l'exécutera. Le fichier tentera alors de télécharger le logiciel malveillant Snake Keylogger.

Pour que l'attaque réussisse, les points d'extrémité ciblés doivent toujours être vulnérables à une faille donnée. Cependant, cette fois-ci, les attaquants n'ont pas envoyé le code malveillant, mais ont incité la victime à le télécharger, contournant ainsi les défenses de la passerelle basées sur la détection.

La communauté de la cybersécurité estime que bon nombre de ces failles de sécurité auraient pu être évitées. Par exemple, la faille actuelle a été identifiée en 2017 et la récente série d'attaques aurait pu être évitée si tous les administrateurs d'appareils maintenaient leurs systèmes d'exploitation à jour.

Selon le DBIR de Verizon, il existe quatre grandes voies d'accès aux informations de l'entreprise : les informations d'identification, le phishing, l'exploitation des vulnérabilités et les réseaux de zombies. Le fait de ne pas bloquer un seul de ces éléments peut conduire à des intrusions dans le réseau. Dans le cas présent, les pirates ont utilisé deux éléments pour attaquer : une escroquerie par hameçonnage bien orchestrée pour tromper les utilisateurs peu méfiants et une vulnérabilité exploitée pour installer des fichiers malveillants.

Mesures de protection couramment utilisées

Étant donné que la nouvelle campagne de cybercriminalité a utilisé le courrier électronique pour distribuer le Snake Keylogger aux points d'accès vulnérables via des fichiers PDF, les meilleures pratiques en matière de sécurité n'auraient pas fonctionné correctement pour les raisons suivantes :

• Les failles sont exploitées en quelques jours, mais il faut des semaines, voire des mois, aux entreprises pour appliquer les correctifs.
• Les solutions traditionnelles de sécurité du courrier électronique ont du mal à prévenir les attaques de type "zero-day", car il n'existe pas de signatures antivirus pour les détecter.
• Sandbox ont émergé comme une approche pour la détection avancée des menaces, mais elles ne sont pas bien adaptées au courrier électronique car elles ajoutent un temps de traitement supplémentaire avant la livraison.
• Au-delà de l'impact négatif sur la productivité, certaines menaces de sécurité du courrier électronique peuvent échapper à la détection du bac à sable. Dans ce cas, ces deux méthodes ont été appliquées :

  
  

  • Action - Exécution différée

  Si les pirates veulent s'assurer que leurs logiciels malveillants ne s'exécutent pas dans un environnement sandbox, une autre approche courante consiste à attendre l'interaction de l'utilisateur final. Il peut s'agir d'un clic de souris, d'une frappe sur le clavier ou de l'ouverture d'une application spécifique - les options sont pratiquement illimitées. L'important pour l'attaquant est que les solutions de bac à sable ne peuvent pas prendre en compte ces actions. Sans ces actions de l'utilisateur, les solutions de bac à sable ne peuvent pas détecter ces attaques.

  • Chevaux de Troie et macros

  Les fichiers de Troie sont presque aussi vieux que la Grèce antique, et c'est pourquoi les solutions antivirus et de sandboxing ont le mérite de pouvoir détecter un grand nombre de types de fichiers de Troie. Les solutions basées sur la détection ont tendance à échouer une fois que le logiciel malveillant est caché dans des documents Microsoft Office dotés de macros. Le seul inconvénient des attaques basées sur des macros pour les attaquants est qu'elles nécessitent l'activation de l'utilisateur final, de sorte qu'elles sont souvent accompagnées d'une attaque par ingénierie sociale.

La philosophie de la confiance zéro

Les organisations doivent partir du principe que tous les e-mails et pièces jointes sont malveillants. Les fichiers de productivité courants, tels que les documents Word ou PDF, peuvent être infectés par des logiciels malveillants et des attaques zero-day, mais il est irréaliste de bloquer l'accès aux e-mails ou aux documents Word. Les solutions antivirus et sandbox sont limitées par leur capacité à détecter les attaques avancées. Comme nous l'avons vu avec l'attaque ci-dessus, se contenter d'une protection basée sur la détection est fondamentalement une mauvaise approche. Les organisations devraient plutôt adopter une approche de sécurité « zero trust » avec une solution proactive qui traite tous les fichiers comme malveillants et les nettoie en temps réel . Ces pièces jointes nettoyées peuvent être livrées immédiatement à l'utilisateur, sans nuire à la productivité de l'entreprise, tout en laissant le temps à une analyse plus approfondie basée sur la détection (ou dynamique) qui, en cas de succès, peut même envoyer le fichier original à l'utilisateur.

MetaDefender Email Security est une solution de ce type. Elle propose une approche complète pour désarmer les pièces jointes, les corps des courriels et les en-têtes, en supprimant tout le contenu potentiellement malveillant et en le reconstruisant sous la forme d'un fichier propre. Ainsi, ces fichiers sont entièrement utilisables et sécurisés, offrant une protection adéquate aux utilisateurs peu sûrs contre les attaques décrites ci-dessus.

OPSWAT protège les organisations contre les exploits et les contenus militarisés sans qu'il soit nécessaire de les détecter. De plus, il est 30 fois plus rapide que la détection en bac à sable!

Si vous souhaitez en savoir plus sur la manière dont vous pouvez combler les lacunes en matière de sécurité du courrier électronique afin de protéger votre organisation contre les menaces avancées, téléchargez notre livre blanc gratuit, "Best Practices for Email Security and Critical Infrastructure Protection", ou lisez d'autres blogs sur le sujet ici.

Contactez-nous OPSWAT dès aujourd'hui et demandez-nous comment nous pouvons vous aider à améliorer la sécurité de votre courrier électronique.