Depuis une petite année, l’on observe une recrudescence de nouvelles cyber-attaques faisant appels à des macros malveillantes via courriers électroniques. Ces dernières ont notamment permis d’installer le cheval de Troie Dridex visant à dérober des informations bancaires. Comment se fait-il qu’une technique a priori obsolète soit devenue un composant clé de ces grandes campagnes d’envoi de logiciels malveillants ? Il est évident que les cybercriminels recherchent le profit, mais en quoi cela affecte-t-il leurs choix en matière de technologies ?
Des attaques en mutation permanente
Selon les investigations de notre équipe de recherche, combinant analyse technique des logiciels malveillants et enquête dans le milieu cybercriminel, les macros malveillantes constituent une méthode particulièrement rentable, car elles induisent peu de coûts en amont et en termes de maintenance, et sont extrêmement efficaces.
Le grand succès de ces campagnes s’explique par les méthodes employées par les cybercriminels qui évoluent au fil des changements de comportements des utilisateurs et de la technologie. Avant l’été 2014, les cybercriminels comptaient en grande majorité sur les URL malveillantes pour propager leurs logiciels, au travers d’importantes campagnes d’hameçonnage par e-mail non sollicité. Or depuis septembre 2014, leur approche a radicalement changé : les cybercriminels ont majoritairement commencé à utiliser des pièces jointes Microsoft Word malveillantes (et notamment le cheval de Troie Dridex). Cette tendance ne faiblit pas à l'approche de l'été 2015. Les chercheurs de Proofpoint ont recensé 56 campagnes de distribution Dridex entre avril et mai 2015. Certaines d’entre elles impliquaient l'envoi, en une seule journée, de plusieurs millions de courriers électroniques contenant des documents infectés par ce cheval de Troie.
Or il s’avère que certains systèmes de protection s’adaptent à de nouvelles menaces mais en négligent d’anciennes. L’analyse technique et économique de la résurgence des macros malveillantes peut ainsi aider à mieux comprendre ce qui motive les attaquants.
Les six grandes raisons d’un tel succès
Les campagnes reposent beaucoup sur le facteur humain. Les macros malveillantes sont flexibles et d’une simplicité trompeuse. Elles sont devenues la principale menace, au détriment des URL, au travers de campagnes de courriers comprenant des pièces jointes. Les techniques d’hameçonnage ainsi utilisées tendent à exploiter le facteur humain et encouragent les utilisateurs à cliquer, évitant de nombreux contrôles de sandboxing automatisés.
Les campagnes induisant des macros sont de plus en plus sophistiquées et échappent à de nombreuses méthodes modernes de détection, y compris le sandboxing. Les campagnes de macros contemporaines parviennent à déjouer très facilement les systèmes de protection basés sur la signature et sur la réputation, ainsi que les techniques de sandboxing comportemental plus récentes.
L’efficacité est un facteur clé. Leurs taux de réussite élevés, ainsi que la rentabilité des macros malveillantes de plus en plus sophistiquées, expliquent la résurgence des attaques par courriers contenant des logiciels malveillants.
Les campagnes induisant des pièces jointes avec macro malveillante ont gagné en envergure et en fréquence.
Les campagnes sont menées par des experts. Bien que les macros malveillantes soient faciles à utiliser pour les pirates informatiques, les plus grandes campagnes continuent de propager des logiciels malveillants, comme Dyre et Dridex. Seuls les criminels possédant des connaissances solides disposent de l’expertise nécessaire pour exploiter efficacement ces campagnes.
Le faible coût et la facilité d’utilisation des macros facilitent le travail des pirates informatiques. Le budget d’une campagne induisant des documents malveillants coûte au maximum 900 euros. De plus, les campagnes induisant des courriers non sollicités avec pièce jointe peuvent dépasser en popularité les kits d’exploitation. Il existe toute une variété de services de spam, mais les kits d’exploitation sont vendus dans des milieux clandestins et ne sont pas accessibles aux criminels débutants ou de niveau intermédiaire.
Il n’est donc pas surprenant de remarquer que les campagnes se basant sur ces macros connaissent un essor important. Leur croissance cessera uniquement le jour où l’augmentation des coûts ou la réduction de leur efficacité aura des conséquences sur le retour sur investissement dont elles permettent de bénéficier.
Pour contrecarrer les attaques d’aujourd’hui, les entreprises ne doivent jamais sous-estimer le facteur humain, car leurs employés finiront presque toujours par cliquer. Elles doivent aussi déployer une stratégie de protection avancée contre les logiciels malveillants, qui comprend une gestion et une détection avancées des menaces, ainsi qu'une protection contre les attaques ciblées, limitant les risques d’interaction entre un message d’hameçonnage et un utilisateur avant que ce dernier ne puisse cliquer.