Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Ces deux derniers mois, l’emploi des bannières publicitaires de Google search par divers acteurs de la menace pour distribuer des logiciels malveillants (RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys stealer, IcedID, Raccoon Stealer notamment), a pris des proportions remarquables.
Cette technique d’intrusion appelée Malvertising et consistant à s’adosser sur une régie publicitaire légitime, en l’espèce Google Ads n’est cependant pas nouvelle. Le malvertising capitalise en effet sur les efforts naturellement déployés par ces dernières afin d’attirer les internautes sur leurs annonces pour propager une charge malveillante rapidement et sur un large public.
À ce titre, la méthode retenue par Google Ads est de faire figurer les annonces au sommet du panel de résultats consécutifs à une recherche en ne les distinguant qu’assez peu des résultats naturels (non sponsorisés), profitant ainsi du réflexe, entretenu chez les utilisateurs de la plateforme, à s’engager sur les premiers liens proposés. Les cybercriminels n’ont alors qu’à profiter du mécanisme en proposant, au travers d’annonces disposées en tête de page, le téléchargement de gratuiciel populaire (VLC, Blender, Firefox, Winrar, LibreOffice, TradingView, CCleaner…) tout en mobilisant, en parallèle, des techniques retrouvées sur les campagnes d’hameçonnage (typosquattage, imitation de site légitime…). Par sa nature, la technique employée par ces campagnes est davantage tournée vers les particuliers que les entreprises, avec le vol d’identifiant (credentials) comme objectif généralement constaté.
Sa recrudescence et sa focalisation sur Google Ads soulève des questions sur les capacités de détections automatiques déployées par Google dans le but d’assainir ses annonces publicitaires face à des malwares poussant toujours plus loin leur capacité d’évasion. Dès lors la prudence des utilisateurs doit rester de mise en ce qui concerne ce type d’annonce.
TOP
TOP
DÉFINITION DU MOIS
Le HTML Smuggling (à ne pas confondre avec le HTTP Smuggling) est une technique de contournement qui permet de faire télécharger un fichier malveillant à une cible en utilisant un fichier HTML. Cette technique est actuellement utilisée par des attaquants expérimentés pour contourner les systèmes de défense des réseaux visés.
Le HTML Smuggling s’appuie plus précisément sur des fonctionnalités natives de HTML5 et JavaScript, et consiste à cacher une charge à l’intérieur d’un fichier HTML. En apparence, ce fichier semble inoffensif, toutefois, lorsqu’il est chargé dans un navigateur web, la charge utile est assemblée à la volée et conduit à l’enregistrement d’un fichier malveillant sur le poste de la victime.
Par cette approche, l’attaquant s’affranchit du besoin de faire transiter jusqu’à sa victime un fichier malveillant qui pourrait être analysé et bloqué par des équipements intermédiaires, tel qu’un proxy web ou une passerelle de messagerie. Ici, c’est la victime qui est à l’initiative : En consultant la page HTML, le navigateur interprète le code et le fichier malveillant est reconstruit et enregistré localement permettant ainsi le contournement de pare-feu.
Cette technique est régulièrement combinée à des tentatives de phishing ou de spear-phishing, où les acteurs de la menace invitent la victime à se rendre sur un site internet pour consulter une page html ou à télécharger un fichier HTML joint. Cette approche est notamment mise en œuvre dans la chaîne d’infection des logiciels malveillants Qakbot et IceID.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.