Ne maintenez pas la touche Ctrl enfoncée : nouvel avertissement alors que les cyberattaques sont confirmées
Mise à jour du 19 novembre 2024 : cet article, initialement publié le 17 novembre, comprend désormais de nouveaux rapports sur d’autres tactiques de plus en plus utilisées par les acteurs malveillants dans les cyberattaques de phishing.
Tout comme les professionnels de la sécurité vous le diront, les stratégies défensives à plusieurs niveaux sont les meilleures lorsqu’il s’agit de parer des attaques réussies. De même, les attaquants se tourneront souvent vers ces mêmes stratégies lorsqu’ils exécuteront leurs cyberattaques. Les attaques de phishing en deux étapes sont, selon les mots des chercheurs en sécurité de Perception Point, « devenues la pierre angulaire de la cybercriminalité moderne », exploitant des plateformes fiables « pour diffuser du contenu malveillant en couches afin d’échapper à la détection ». Tout change, mais tout reste pareil. Ces mêmes chercheurs ont mis en garde contre une nouvelle méthodologie d’attaque employant de telles tactiques 2SP mais impliquant des fichiers Microsoft Visio comme nouvelle tactique d’évasion. Voici ce à quoi vous devez faire attention et quelles mesures vous pouvez prendre pour atténuer le risque d’être victime de ces nouvelles cyberattaques 2SP, et pourquoi vous ne devriez pas maintenir la touche Ctrl enfoncée lorsque cela vous est demandé.
Les cyberattaques en deux étapes constituent le summum du phishing dès leur conception
Une nouvelle analyse publiée par Peleg Cabra, responsable marketing produit chez Perception Point, a révélé comment le chercheur en sécurité Ariel Davidpur travaillant pour le fournisseur a révélé que les acteurs de la menace se tournaient de plus en plus vers l’utilisation de fichiers au format Microsoft Visio .vsdx pour échapper à la détection lors de cyberattaques de vol d’identifiants.
Parce que Visio est un outil couramment utilisé sur le lieu de travail pour aider à visualiser des données ou des flux de travail complexes, l’utilisation de fichiers au format .vsdx s’intègre parfaitement dans la stratégie des acteurs malveillants selon laquelle la « familiarité inoffensive » est au cœur de nombreuses attaques de phishing. Aujourd’hui, selon les chercheurs de Perception Point, les mêmes fichiers sont utilisés comme arme pour la diffusion d’URL malveillantes dans le cadre d’un scénario d’attaque de phishing en deux étapes : lâchez l’appât, tendez le piège.
Décrivant ce qu’ils ont appelé « une augmentation spectaculaire des attaques de phishing en deux étapes exploitant les fichiers .vsdx », les chercheurs en sécurité ont expliqué comment les cyberattaques représentaient « une sophistication des tactiques de phishing en deux étapes, ciblant des centaines d’organisations dans le monde avec une nouvelle couche ». de tromperie conçue pour échapper à la détection et exploiter la confiance des utilisateurs.
Évolution des cyberattaques de phishing en deux étapes
Si un tel avertissement était nécessaire, le voici : la sécurité des comptes de messagerie est vitale si l’on veut arrêter les cyberattaques telles que ces dernières attaques de phishing en deux étapes. Pourquoi ? Parce que, selon les chercheurs, ils ont commencé avec des acteurs malveillants qui exploitaient des comptes de messagerie piratés afin d’envoyer des e-mails qui réussissaient les contrôles d’authentification de base car ils provenaient de domaines authentiques.
Ces e-mails contiendront un composant de phishing courant conçu pour attirer le destinataire dans le piège : une proposition commerciale ou un bon de commande, accompagné d’une demande urgente à consulter et à répondre. Bien sûr, lorsque la victime fait exactement cela et clique sur l’URL, elle est conduite au piège lui-même : une page Microsoft SharePoint elle-même, souvent compromise, mais quelle qu’elle soit, qui héberge un fichier Viso .vsdx. Les couches de la cyberattaque commencent à s’effilocher à ce stade, avec une autre URL intégrée dans ce fichier et derrière ce que les chercheurs ont décrit comme un appel à l’action cliquable, le plus souvent un bouton « afficher le document ».
Veuillez maintenir la touche Ctrl enfoncée, c’est une instruction dans ces cyberattaques 2SP récemment découvertes
C’est là que ces cyberattaques 2SP deviennent vraiment intelligentes, même si je déteste appliquer ce mot aux cybercriminels. « Pour accéder à l’URL intégrée, les victimes sont invitées à maintenir la touche Ctrl enfoncée et à cliquer », ont déclaré les chercheurs de Perception Point, « une action subtile mais très efficace conçue pour échapper aux scanners de sécurité des e-mails et aux outils de détection automatisés ». En sollicitant cette interaction humaine, les attaquants espèrent contourner les systèmes automatisés qui ne s’attendent pas à un tel comportement lors d’une attaque.
La victime est maintenant redirigée vers une autre fausse page, cette fois-ci qui ressemble à toutes fins utiles à une page de connexion au portail Microsoft 365 conçue, bien sûr, pour voler les informations d’identification des utilisateurs. Il n’y a aucune mention dans le rapport de Perception Point de cette étape, y compris une tactique de compromission des cookies de session, ce qui signifie qu’un moyen de l’empêcher de réussir serait de mettre en place une authentification robuste à deux facteurs pour le compte ciblé dans une telle étape. cyberattaques.
Des graphiques vectoriels évolutifs sont déployés dans de nouvelles cyberattaques : voici comment procéder
Selon un nouveau rapport de Lawrence Abrams, rédacteur en chef de Bleeping Computer, les acteurs de la menace utilisent de plus en plus une autre tactique intelligente impliquant l’utilisation de graphiques vectoriels évolutifs comme pièces jointes lors du déploiement de cyberattaques de phishing. Cette technique est conçue pour soit afficher des formulaires malveillants à la victime, soit déployer directement des logiciels malveillants, tout en échappant à la détection par les logiciels de sécurité. Cette tactique repose sur le fait que contrairement aux images construites en pixels, les graphiques vectoriels évolutifs sont créés à l’aide d’une formule mathématique qui indique comment les lignes, les formes et le texte doivent être affichés à l’écran. Le chercheur en sécurité MalwareHunterTeam a déclaré à Bleeping Computer comment les acteurs de la menace exploitent le fait que les pièces jointes SVG peuvent afficher du HTML et exécuter du JavaScript lorsque l’image elle-même est chargée. Le plus intelligent est que ceux-ci sont utilisés pour créer des formulaires de vol d’informations d’identification. Abrams a démontré comment une telle technique pouvait afficher une feuille de calcul Excel accompagnée d’un formulaire de connexion intégré pour envoyer des informations d’identification à l’acteur menaçant déployant les cyberattaques. Il a toutefois été noté que d’autres cyberattaques utilisent du JavaScript intégré dans les pièces jointes SVG pour rediriger les navigateurs vers des sites hébergés par les acteurs malveillants lors de l’ouverture de l’image elle-même.
Atténuer les cyberattaques liées aux pièces jointes SVG
« Le problème est que, comme ces fichiers ne sont pour la plupart que des représentations textuelles d’images », a déclaré Abrams, « ils ont tendance à ne pas être détectés très souvent par les logiciels de sécurité. » Cela signifie que la dernière ligne de défense est la même que la première : vous, l’être humain. Demandez-vous pourquoi vous recevriez une pièce jointe au format graphique vectoriel évolutif en premier lieu, si cela n’est pas courant dans votre flux de travail. Si vous êtes un développeur ou quelqu’un d’autre habitué à voir les pièces jointes SVG, demandez-vous qui les envoie et si c’est un comportement normal pour lui. Considérez tous les e-mails accompagnés d’une pièce jointe SVG comme suspects, et de cette façon, vous pourriez vous épargner, ainsi qu’à votre organisation, d’être victime de ces cyberattaques de phishing.
Lutter contre les cyberattaques lors de la Semaine internationale de la fraude 2024
Semaine internationale de la fraude se déroule cette année du 17 au 23 novembre, dans le but de promouvoir la sensibilisation et l’éducation anti-fraude à l’échelle mondiale. Il ne fait aucun doute que la technologie constitue à la fois une arme puissante et qu’elle a également le potentiel d’atténuer la fraude, qui constitue souvent la charge ultime de nombreuses cyberattaques. Dans cette optique, quel meilleur moment pour examiner les nouvelles formes de fraude auxquelles les entreprises sont confrontées du côté cyber de la barrière des menaces. L’instruction consistant à maintenir la touche Ctrl enfoncée lorsque l’on clique sur un lien lors de l’attaque de phishing en deux étapes détaillée ci-dessus en est un exemple, mais il en existe bien d’autres.
Comme l’a souligné Muhammad Yahya Patel, ingénieur en chef de la sécurité chez Check Point Software, les progrès de la technologie ont donné du pouvoir à la fois aux industries légitimes et aux cybercriminels, ce qui rend la prévention de la fraude à la fois plus critique et plus complexe. « De la cyberfraude et de la fraude interne aux escroqueries de plus en plus sophistiquées comme la fraude au PDG et les stratagèmes basés sur l’IA », a déclaré Patel, « le paysage de la fraude commerciale est à la fois diversifié et évolutif ».
Même si la trajectoire de la cyberfraude a sans aucun doute évolué parallèlement aux progrès technologiques, certains pourraient même dire qu’elle a dépassé la ligne de tendance technologique, il est essentiel de comprendre quelles sont les principales catégories de fraude, les cyberattaques les plus répandues, pour pouvoir se défendre contre leur impact. .
Patel suggère que les six catégories suivantes doivent figurer sur votre liste de sensibilisation :
- Cyberfraude : le recours au phishing, aux logiciels malveillants et aux ransomwares reste répandu. Les cybercriminels ciblent les données sensibles et perturbent les opérations commerciales.
- Fraude interne : menace importante provenant de l’intérieur, la fraude interne implique des actions frauduleuses de la part des employés, notamment la falsification de documents, le détournement de fonds et le vol.
- Fraude à la facture : les fraudeurs envoient de fausses factures aux entreprises, dans l’espoir qu’elles seront traitées sans examen minutieux.
- Fraude au PDG : souvent appelés compromission de la messagerie professionnelle (BEC), les fraudeurs se font passer pour des cadres de haut rang pour inciter les employés à transférer des fonds ou à partager des informations sensibles.
- Fraude au retour : Particulièrement courante dans le commerce de détail, la fraude au retour se produit lorsque les clients exploitent les politiques de retour à des fins financières.
- Fraude à la paie : lorsque les employés manipulent les systèmes de paie à des fins personnelles, cela peut entraîner des pertes financières inattendues.
Passage des cyberattaques génériques aux cyberattaques ciblées
Les ransomwares sont un excellent exemple de la manière dont une menace évolue au fil du temps et devient par conséquent beaucoup plus dangereuse. Les ransomwares ont commencé comme un type de cyberattaque totalement non ciblé qui adoptait une approche dispersée en matière de distribution de logiciels malveillants. En envoyant autant d’e-mails « infectés » à un public aussi large que possible, quelle que soit la capacité de payer ou la valeur des données détenues, les auteurs de la menace espéraient qu’un nombre suffisant de victimes mordraient pour que l’opération soit rentable. Presque inévitablement, les attaquants qui gagnaient le plus d’argent étaient ceux qui avaient compris que le ciblage stratégique de ceux qui avaient le plus à perdre et les plus gros soldes bancaires atteignait le sommet. Cela a fini par transformer l’ensemble du paysage des ransomwares en un monde où les méthodes de reconnaissance sophistiquées, l’infiltration des systèmes sur de longues périodes et l’extraction de données sensibles pour les exploiter contre des individus ou des entreprises dans le cadre de stratagèmes de double extorsion sont devenues la norme. « Ce niveau accru de personnalisation rend la détection plus difficile et souvent plus dévastatrice », a déclaré Patel, « à mesure que la cyber-fraude gagne en sophistication, nos défenses doivent évoluer en conséquence. L’IA augmentant la portée et l’impact de la fraude, les organisations doivent adopter une sécurité tout aussi dynamique, en tirant parti des solutions basées sur l’IA pour devancer et déjouer les attaquants. Il est peu probable que la mise en place d’une défense résiliente contre les cyberattaques prévienne non seulement la fraude mais, comme le conclut Patel, « favorise un environnement plus sûr et plus fiable pour tous ».