Une étude de HP Wolf Security reposant sur des données collectées auprès de ses clients entre octobre et décembre 2024, montre le détournement des procédures de filtrage des bots par Captcha par des pirates. Le processus qui se déroule en plusieurs étapes montre l’imagination fertile des attaquants.
Concrètement, ces menaces se présentent sous la forme d’une pléthore de fausses publicités qui apparaissent sous Windows. Impossible de ne pas cliquer dessus. La suite est sans surprises, la victime est redirigée vers un site malveillant incluant un test Captcha. Le piège se referme avec l’exécution d’une commande PowerShell malveillante sur le PC de la cible, installant un RAT (remote access trojan) ou un infostealer (vol de données) tel le très connu Lumma Stealer.
Avec ces appels système, les attaquants compliquent la tâche des équipes de sécurité en opérant plus longtemps sans être détectés, compromettant ainsi les équipements et les données des victimes. Une des solutions contre les arnaques d'ingénierie sociale consiste à désactiver le partage du presse-papiers utilisé par les pirates. Les administrateurs système peuvent désactiver cette fonction en configurant la stratégie de groupe.
Les menaces se propagent via la messagerie et les documents PDF
HP Wolf Security estime que les menaces par courrier électronique qui ont échappé à la sécurité de sa passerelle représentent 11 % des charges malveillantes et 10 % des documents PDF. Plus de la moitié (53 %) des menaces ciblant les endpoints, autrement dit tous les équipements connectés aux réseaux, ont été diffusées par e-mail au quatrième trimestre 2024, ce qui fait de la messagerie le mode de transmission le plus répandu.L’étude a identifié un cas plutôt rare où un attaquant a combiné une feuille de calcul Excel malveillante avec un document Word pour tenter d'infecter des PC. Autre risque bien connu, mais toujours préoccupant, l’espionnage via les webcams et les microphones.
Une campagne d’HP a révélé que des attaquants diffusent le cheval de Troie XenoRAT, un RAT open-source qui est susceptible de contrôler le micro et ou la webcam d’un ordinateur. Grâce à des techniques d’ingénierie sociale, les pirates tentent d’inciter les utilisateurs à activer les macros malveillantes dans des documents Word et Excel. Une action qui permet de contrôler des équipements, d'extraire des données et d'enregistrer les frappes du clavier (Keylogger).
Les attaques via les scripts Python et les fichiers SVG
Rançon de son succès, le langage Python est un vecteur privilégié par les pirates. De fait, il s’agit d’un langage privilégié pour produire le code de malwares. Autre outil de développement, le Javascript massivement utilisé dans le code des sites web, est dissimulé dans les images vectorielles au format SVG pour contourner la détection. Ces images s’ouvrent par défaut dans les navigateurs web et exécutent le code embarqué pour déployer jusqu’à sept charges malveillantes (chevaux de Troie, infostealers).Fin 2024, les exécutables et les scripts sont en tête des types de fichiers les plus populaires (43 % des menaces) avec une augmentation de 3 points par rapport au troisième trimestre. À noter, les cinq formats de fichiers d'archive les plus utilisés par les pirates sont RAR, ZIP, ZIP et ZIP et TAR.
