Le leader de la protection avancée met en lumière l’écosystème cybercriminel à l'origine de la récente augmentation du nombre de macros malveillantes, et fournit notamment de nouvelles informations sur les facteurs économiques et techniques.

Proofpoint, Inc., l’un des spécialistes les plus innovants en matière de sécurité et de conformité, a annoncé la publication d’un rapport identifiant les facteurs économiques et techniques responsables de l’augmentation récente du nombre de macros malveillantes à l’échelle internationale. Ces dernières ont notamment permis d’installer le cheval de Troie Dridex.

Le rapport intitulé The Cybercrime Economics of Malicious Macros de Proofpoint analyse le phénomène de résurgence des macros malveillantes qui, sur les neuf derniers mois, ont permis aux cybercriminels d’atteindre plus de cibles tout en leur assurant un meilleur retour sur investissement.

« La cybercriminalité engendre d’importants revenus et les responsables n’hésitent plus à cibler directement les utilisateurs, afin de contourner les systèmes de protection automatiques », a déclaré Kevin Epstein, vice-président de la division Gestion et sécurité avancée de Proofpoint.

« Les criminels encouragent l’utilisation des macros malveillantes et se tiennent au fait de leurs taux de réussite, ce qui indique que cette stratégie est devenue populaire.

Le principe est simple : les macros malveillantes sont efficaces et peu onéreuses, ce qui permet aux pirates informatiques d’augmenter leur rentabilité. Malheureusement, cela implique que les macros malveillantes ne disparaitront pas de sitôt. »

Le rapport The Cybercrime Economics of Malicious Macros de Proofpoint combine une analyse technique (portant sur les logiciels malveillants créés par leurs développeurs) et une enquête dans le milieu cybercriminel.

Les résultats indiquent que les taux de réussite élevés et la rentabilité des macros malveillantes ont modifié rapidement et considérablement le paysage des menaces transmises par courrier électronique.

Avant le deuxième semestre 2014, les cybercriminels comptaient en grande majorité sur les URL malveillantes pour propager leurs logiciels, au travers d’importantes campagnes d’hameçonnage par courrier non sollicité.

Leur approche a radicalement changé en septembre 2014, lorsque les cybercriminels ont majoritairement commencé à utiliser des pièces jointes Microsoft Word malveillantes (et notamment le cheval de Troie Dridex). Cette tendance ne faiblit pas à l'approche de l'été 2015. Les chercheurs de Proofpoint ont recensé 56 campagnes de distribution Dridex entre avril et mai 2015.

Certaines d’entre elles impliquaient l'envoi, en une seule journée, de plusieurs millions de courriers électroniques contenant des documents infectés par ce cheval de Troie.

Voici les six principales conclusions du rapport The Cybercrime Economics of Malicious Macros de Proofpoint :

• Les campagnes reposent beaucoup sur le facteur humain.

Les macros malveillantes sont flexibles et d’une simplicité trompeuse. Elles sont devenues la principale menace, au détriment des URL, au travers de campagnes de courriers comprenant des pièces jointes. Les techniques d’hameçonnage ainsi utilisées tendent à exploiter le facteur humain et encouragent les utilisateurs à cliquer, évitant de nombreux contrôles de sandboxing[i] automatisés.

• Les campagnes induisant des macros sont de plus en plus sophistiquées et échappent à de nombreuses méthodes modernes de détection, y compris le sandboxing.

Les campagnes de macroscontemporaines parviennent à déjouer très facilement les systèmes de protection basés sur la signature et sur la réputation, ainsi que les techniques de sandboxing comportemental plus récentes.

• L’efficacité est un facteur clé.

Leurs taux de réussite élevés, ainsi que la rentabilité des macros malveillantes de plus en plus sophistiquées, expliquent la résurgence des attaques par courriers contenant des logiciels malveillants.

• Les campagnes induisant des pièces jointes avec macro malveillante ont gagné en envergure et en fréquence.

Proofpoint estime que leur croissance cessera uniquement le jour où l’augmentation des coûts ou la réduction de leur efficacité aura des conséquences sur le retour sur investissement dont elles permettent de bénéficier.

• Les campagnes sont menées par des experts.

Bien que les macros malveillantes soient faciles à utiliser pour les pirates informatiques, les plus grandes campagnes continuent de propager des logiciels malveillants, comme Dyre et Dridex. Seuls les criminels possédant des connaissances solides disposent de l’expertise nécessaire pour exploiter efficacement ces campagnes.

• Le faible coût et la facilité d’utilisation des macros facilitent le travail des pirates informatiques.

Le budget d’une campagne induisant des documents malveillants peut être compris entre 0 et 1 000 $. De plus, les campagnes induisant des courriers non sollicités avec pièce jointe peuvent dépasser en popularité les kits d’exploitation. Il existe toute une variété de services de spam, mais les kits d’exploitation sont vendus dans des milieux clandestins et ne sont pas accessibles aux criminels débutants ou de niveau intermédiaire.

L’analyse de ces facteurs économiques, liés à l'utilisation des courriers électroniques contenant des macros malveillantes, prouve que les entreprises ne doivent jamais sous-estimer le facteur humain, car leurs employés finiront presque toujours par cliquer.

Pour contrecarrer les attaques d’aujourd’hui, les entreprises doivent déployer une stratégie de protection avancée contre les logiciels malveillants, qui comprend une gestion et une détection avancées des menaces, ainsi qu'une protection contre les attaques ciblées, limitant les risques d’interaction entre un message d’hameçonnage et un utilisateur avant que ce dernier ne puisse cliquer.

Pour obtenir des informations supplémentaires sur les ressources qui permettent de gérer les nouvelles menaces évoluant constamment.