Les chercheurs de HP Inc. ont publié leur dernier Rapport sur les Menaces, dans lequel ils mettent en garde contre l’évolution des techniques d’ingénierie sociale et d’évasion, qui élèvent le niveau dans le paysage du cybercriminalisme. La société a identifié des campagnes où les attaquants confectionnent de fausses factures PDF aux apparences impeccable d’Adobe Reader, dissimulent des charges utiles dans des données d’image et réutilisent des troyans tels que Lumma Stealer via des fichiers compressés difficiles à détecter.
Phishing avec PDF ultra-réalistes
Parmi les découvertes les plus frappantes figurent l’utilisation de fichiers PDF simulant Adobe Acrobat Reader, intégrant une barre de progression fausse qui renforce la crédibilité de l’illusion. Le fichier contenait une reverse shell encastrée dans un petit fichier SVG, conçu pour donner aux attaquants un accès distant à l’appareil infecté.
Cette campagne incluait également un géofencing ciblant les régions germanophones, afin de limiter son exposition mondiale et de retarder la détection automatique par les systèmes d’analyse.
Code malveillant dissimulé dans des images
Une autre technique analysée consiste en l’utilisation de fichiers d’aide HTML compilés de Microsoft (.CHM) avec du code malveillant intégré dans les pixels des images. Cette méthode a permis aux attaquants d’exécuter un payload XWorm en plusieurs phases.
La chaîne d’infection comprenait des commandes PowerShell qui lançaient des fichiers CMD afin de effacer les preuves après téléchargement et exécution, illustrant clairement une exploitation de techniques LOTL (living-off-the-land).
Le retour de Lumma Stealer
Malgré l’opération policière internationale menée en mai, Lumma Stealer a refait surface en tant que l’une des familles de malware les plus actives du deuxième trimestre. Le groupe responsable a lancé des campagnes via des fichiers IMG et continue de registrar de nouveaux domaines pour renforcer son infrastructure.
Les fichiers compressés, favoris du cybercrime
HP signale que les fichiers compressés demeurent le format privilégié de distribution :
- 40 % des menaces se propagent par fichiers compressés (.zip, .rar, .img).
- 35 % concerne des exécutables et scripts.
- Les .rar représentent 26 %, illustrant la confiance exploitée par les attaquants dans des outils comme WinRAR pour passer inaperçus.
De plus, 13 % des courriels malveillants ont réussi à contourner au moins un système de filtrage, confirmant la sophistication de ces campagnes.
Avis d’experts
Alex Holland, chercheur principal chez HP Security Lab, explique :
« Les attaquants n’ont pas besoin de réinventer la roue : ils perfectionnent ce qui existe déjà. Nous observons davantage de chaînes LOTL, une utilisation accrue de fichiers atypiques et de scripts minimalistes qui parviennent à passer inaperçus. Leur simplicité est ce qui les rend si dangereux. »
De son côté, Ian Pratt, responsable mondial de la sécurité chez HP Personal Systems, précise :
« Les techniques living-off-the-land sont particulièrement problématiques car la frontière entre activité légitime et attaque est floue. Même les meilleurs systèmes de détection échouent parfois. C’est pourquoi une stratégie de defense en profondeur avec isolation et confinement est essentielle. »
Un défi pour les systèmes de détection traditionnels
Le rapport souligne que les systèmes traditionnels, basés sur la détection par signatures ou par comportements anormaux, ne suffisent pas toujours face à ces attaques. HP met en avant sa solution Wolf Security, qui isole le malware dans des conteneurs sécurisés, permettant d’observer leur comportement sans mettre en danger la machine finale.
À ce jour, les clients de Wolf Security ont analysé plus de 55 milliards de fichiers et liens sans signaler de brèches de sécurité.
Conclusion
L’évolution de techniques telles que le phishing en PDF ultra-réaliste, le masquage de code dans les images et la chaîne LOTL multi-étapes démontre que les cybercriminels perfectionnent des outils éprouvés pour contourner les contrôles modernes. Pour les entreprises technologiques et leurs équipes de sécurité, le défi ne se limite pas à la détection, mais inclut aussi le confinement et l’isolation avant que les dégâts ne deviennent irréversibles.
Questions fréquemment posées
Quelles sont les techniques LOTL et pourquoi sont-elles difficiles à contrer ?
Elles exploitent des outils légitimes de Windows comme PowerShell ou CMD, rendant leur activité malveillante difficile à distinguer des processus légitimes du système.
En quoi ces nouvelles campagnes de phishing en PDF diffèrent-elles ?
Elles ont atteint un niveau de réalisme visuel très élevé, avec des éléments comme de fausses barres de chargement, augmentant la confiance des utilisateurs et leur propension à ouvrir les fichiers.
Quel rôle jouent les fichiers compressés dans les attaques actuelles ?
Ils constituent le vecteur de transmission privilégié, représentant 40 % des menaces. Les attaquants exploitent la confiance dans des logiciels comme WinRAR pour introduire du malware dans un environnement professionnel.
Quelle stratégie est la plus efficace face à ces menaces ?
Une approche de défense en profondeur, combinant surveillance, sensibilisation des utilisateurs et, surtout, l’isolation de menaces dans des conteneurs sécurisés, pour empêcher qu’un clic malheureux ne cause une brèche.
