Depuis que Microsoft a annoncé plus tôt cette année qu'il bloquerait les macros d'Internet, il y a eu une tendance dans la cybercriminalité à utiliser des formats d'archives ou des images de disque pour infiltrer les systèmes avec des logiciels malveillants. La passerelle numéro un reste le courrier électronique.
En février de cette année, Microsoft a annoncé qu'il bloquerait par défaut les macros d'Internet. Ces macros ont été utilisées à mauvais escient par des attaquants pendant des années pour diffuser des logiciels malveillants. Alors que la communauté de la sécurité a émis l'hypothèse que les attaquants passeraient à des formats alternatifs en raison de la décision de Microsoft, Sophos a déjà confirmé ce fait avec ses données de télémétrie.
Logiciels malveillants : nouveaux chemins via d'autres formats de fichiers
D'avril à septembre de cette année, Sophos a constaté une forte baisse du nombre de fichiers malveillants .doc, .docm, .xls et .xlsm - quatre formats Office populaires utilisés pour faire proliférer les macros malveillantes. Dans le même temps, on observe une augmentation constante de l'utilisation des formats d'archives obscurs (ACE, ARJ, XZ, GZ ou LZH) jusqu'à la mi-juin et une forte augmentation des formats d'archives les plus courants (ZIP, 7Z, CAB, TAR et RAR) à partir de septembre. L'utilisation de formats d'image disque (ISO, VHD et UDF) pour la distribution de logiciels malveillants a également augmenté régulièrement.
Les formats d'image disque sont particulièrement attrayants pour les auteurs de menaces, car ils contournent la nouvelle fonctionnalité Mark of the Web (MOTW) de Microsoft. Microsoft utilise MOTW pour déterminer si une macro provient ou non d'Internet ; si tel est le cas, il est automatiquement bloqué.
Contourner les formats d'image disque Vérifier
Les produits de sécurité doivent également être capables de décompresser plusieurs formats d'archives et d'images disque, y compris des formats impopulaires, pour analyser correctement ces pièces jointes à la recherche de logiciels malveillants. Pour atténuer davantage les risques, les filtres de messagerie peuvent être configurés pour bloquer certains formats de fichiers par défaut. Les e-mails restent l'un des principaux vecteurs d'attaque.
Les e-mails restent dangereux
Chester Wisniewski, chercheur principal chez Sophos, déclare : « Nous donnons les mêmes conseils sur la sécurité des e-mails depuis des années. Des choses comme "ne cliquez pas sur ce lien" ou "n'ouvrez pas de pièces jointes dangereuses". La réalité est que le paysage de la cybersécurité est en constante évolution. Il est peu probable que les cybercriminels abandonnent complètement les macros, car ils sont très susceptibles de s'adapter à ces dernières mesures de sécurité Microsoft. Les entreprises devraient faire de même. Une bonne sécurité des e-mails doit être gérée de manière centralisée, les équipes de sécurité se concentrant sur les aspects techniques, par ex. B. quelles extensions de fichiers sont dangereuses. Il est également important d'éduquer les utilisateurs sur la manière d'éviter de tomber dans le piège de l'ingénierie sociale délicate des cybercriminels.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.